Hacker erstellten einen gefälschten Trading-Bot für Polymarkets Prognosemärkte auf GitHub. Der Bot wurde verwendet, um Malware zu verbreiten, die Zugangsdaten wie Wallet-Schlüssel undHacker erstellten einen gefälschten Trading-Bot für Polymarkets Prognosemärkte auf GitHub. Der Bot wurde verwendet, um Malware zu verbreiten, die Zugangsdaten wie Wallet-Schlüssel und

Angreifer liefern Infostealer an Polymarket-Trading-Bot-Nutzer und DeFi-Entwickler über npm-Pakete

2026/07/01 22:53
3 Min. Lesezeit
Bei Feedback oder Anliegen zu diesem Inhalt kontaktieren Sie uns bitte unter crypto.news@mexc.com

Hacker erstellten auf GitHub einen gefälschten Trading-Bot für Polymarkets Vorhersagemärkte. Der Bot wurde verwendet, um Malware zu verbreiten, die Zugangsdaten wie Wallet-Schlüssel und Browser-Passwörter stiehlt.

30 bösartige Pakete wurden in mehreren npm-Konten gefunden, die Berichten zufolge auf Entwickler und Trader abzielten, die automatisierte Strategien nutzen. Mindestens 53 Entwickler tappten in die Falle, bevor sie gemeldet wurde.

Attackers deliver infostealer to Polymarket trading bot users, DeFi devs through npm packages

Wie konnte sich ein gefälschter Bot auf über 53 Entwickler ausbreiten?

Am 01.07.2026 meldete das Sicherheitsunternehmen SlowMist einen gefälschten Trading-Bot, der große Gewinne auf Polymarket versprach, aber tatsächlich nur ein Verbreitungsvehikel für Malware war. SafeDep entdeckte 30 bösartige npm-Pakete, die über mehrere Konten verteilt und mit einem gefälschten GitHub-Repository verknüpft waren.

Die Kriminellen veröffentlichten einen „polymarket-arbitrage-bot", der angeblich über 80.000 $ pro Jahr einbringen sollte. Er erhielt 36 Sterne und 53 Forks, bevor der Betrug aufgedeckt wurde. Jeder Entwickler, der ihn heruntergeladen und installiert hatte, führte die Malware aus.

Die Angreifer wussten, dass echte Trading-Bots auf Polymarket enorme Gewinne erzielt haben.

Ein Bot, der vom Preisvorhersage-Marktanalysten Dexter's Lab untersucht wurde, verwandelte 313 $ in nur einem Monat in 414.000 $, während ein anderer, der vom Forscher Igor Mikerin analysiert wurde, in zwei Monaten 2,2 Millionen $ einbrachte. Diese Erfolgsbilanz ließ den gefälschten Bot für Trader, die schnelle Gewinne jagten, glaubwürdig erscheinen.

Die Anleitung für diesen gefälschten Trading-Bot sah vor, dass Nutzer ihren privaten Polymarket-Schlüssel in eine .env-Datei eingeben, bevor sie „npm install" ausführen. Während der Installation würde die Malware, die in einer Abhängigkeit namens „clob-client-math" versteckt ist, ausgeführt.

Die Malware stiehlt eine Vielzahl sensibler Daten, darunter: 

  • Krypto-Wallet-Daten von MetaMask, Phantom, Coinbase Wallet, TrustWallet und anderen.
  • Browser-Daten wie gespeicherte Passwörter und Cookies von Chrome, Firefox und Brave.
  • SSH-Schlüssel, AWS-Anmeldedaten, npm- und PyPI-Token.
  • Daten aus Passwort-Managern wie Bitwarden, KeePass und 1Password.
  • Private Schlüssel und API-Token.

Was sollten Sie tun, wenn Sie den gefälschten Bot heruntergeladen haben?

Sicherheitsforscher glauben, dass nordkoreanische Hacker hinter diesem Angriff stecken. Die Gruppe führt eine größere Kampagne namens „Contagious Trader" durch, die auf Krypto-Entwickler abzielt.

Cryptopolitan berichtete im März, dass Hacker das Konto eines Axios-Entwicklers übernahmen und bösartige npm-Pakete veröffentlichten. Im Mai wurde ein kompromittiertes Konto genutzt, um in weniger als 30 Minuten 323 Pakete zu übernehmen.

Polymarket-Nutzer waren in diesem Jahr auch anderen Angriffen ausgesetzt, wie etwa Ende Juni, als ein Phishing-Betrug mindestens 11 Konten um 2,94 Millionen $ erleichterte.

SafeDep erklärt, dass jeder Computer, auf dem „npm install" für den gefälschten Bot ausgeführt wurde, als gehackt betrachtet werden sollte. Betroffenen Personen wird empfohlen, sofort alle Krypto-Wallet-Schlüssel zu rotieren, alle im Browser gespeicherten Passwörter zu ändern und alle AWS-Zugangsdaten, SSH-Schlüssel und API-Token zu ersetzen.

Tradern wird außerdem empfohlen, ihre npm-Lock-Dateien auf die 30 bösartigen Pakete zu überprüfen, indem sie nach Abhängigkeiten suchen, die in package.json erscheinen, aber im Code nie verwendet werden. Die „package.json" des Repositorys in diesem Angriff listete vier Abhängigkeiten auf, aber nur drei (das offizielle Polymarket SDK, ethers und dotenv) waren legitim. Die vierte, clob-client-math, die die Malware verbarg, wurde nirgendwo im Quellcode des Bots importiert.

Die beste Verteidigung besteht darin zu prüfen, ob Pakete von neuen Konten ohne Veröffentlichungshistorie stammen, da alle gefälschten Pakete von brandneuen Konten veröffentlicht wurden.

Lesen Sie Krypto-Nachrichten nicht nur. Verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.

Marktchance
DeFi Logo
DeFi Kurs(DEFI)
$0.0001838
$0.0001838$0.0001838
-0.10%
USD
DeFi (DEFI) Echtzeit-Preis-Diagramm

World Cup Combo: Aim for 200x

World Cup Combo: Aim for 200xWorld Cup Combo: Aim for 200x

Combine up to 20 World Cup matches in one order

Haftungsausschluss: Die auf dieser Website veröffentlichten Artikel stammen von öffentlichen Plattformen und dienen ausschließlich zu Informationszwecken. Sie spiegeln nicht unbedingt die Ansichten von MEXC wider. Alle Rechte verbleiben bei den ursprünglichen Autoren. Sollten Sie der Meinung sein, dass Inhalte die Rechte Dritter verletzen, wenden Sie sich bitte an crypto.news@mexc.com um die Inhalte entfernen zu lassen. MEXC übernimmt keine Garantie für die Richtigkeit, Vollständigkeit oder Aktualität der Inhalte und ist nicht verantwortlich für Maßnahmen, die aufgrund der bereitgestellten Informationen ergriffen werden. Die Inhalte stellen keine finanzielle, rechtliche oder sonstige professionelle Beratung dar und sind auch nicht als Empfehlung oder Billigung von MEXC zu verstehen.