Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Ставите на Polymarket? Ваши финансы в опасности. Хакеры подложили «свинью» тем, кто запускает торговых ботов

leer en español

sleek-pretty npm Polymarket Lazarus Group Panther SSH-бэкдор криптокошельки цепочка поставок
Ставите на Polymarket? Ваши финансы в опасности. Хакеры подложили «свинью» тем, кто запускает торговых ботов
sleek-pretty npm Polymarket Lazarus Group Panther SSH-бэкдор криптокошельки цепочка поставок

На кону стоят суммы, которые заставляют забыть о правилах приличия.

image

На npm обнаружили вредоносный пакет, который маскируется под безобидный инструмент для логирования, но на деле открывает доступ к криптокошелькам и серверам разработчиков. Атака нацелена на узкую аудиторию — авторов торговых ботов для платформы Polymarket, где крутятся сотни миллионов долларов.

Пакет под названием «sleek-pretty» версии 1.0.0 загрузили в репозиторий npm 10 апреля с нового аккаунта probull02. После подключения в проекте код запускается сразу, без этапа установки, и выполняет сразу несколько вредоносных действий. Чтобы скрыть логику, злоумышленники запутали JavaScript-код, и специалистам пришлось сначала его расшифровать.

Основная цель — разработчики, которые пишут автоматические боты для торговли на Polymarket. Такие боты работают через официальный SDK и обычно хранят ключи доступа и приватные ключи кошельков в файлах .env. Именно эти данные и ищет вредоносный код. Причём атака учитывает структуру проектов и целенаправленно ищет конкретные файлы SDK, а не просто перебирает содержимое каталогов.

После запуска пакет собирает информацию о системе, включая тип операционной системы, IP-адрес и имя пользователя, и отправляет данные на сервер управления. На Linux дополнительно происходит внедрение постоянного доступа — в файл authorized_keys добавляется SSH-ключ злоумышленника. Такой доступ сохраняется даже после удаления пакета и смены паролей.

Далее код просматривает файловую систему, ищет .env, JSON-документы и офисные файлы, а затем передаёт их на удалённый сервер. Отдельно обрабатываются файлы проекта, связанные с Polymarket, включая конфигурации и исходники SDK. В результате атакующие получают как API-ключи для торговли, так и приватные ключи кошельков, которые дают полный контроль над средствами.

Особую опасность создаёт комбинация уровней доступа. С помощью API-ключей можно управлять ордерами, а приватный ключ позволяет напрямую вывести средства из кошелька, минуя саму платформу. Учитывая, что через такие боты управляют счетами с суммами от сотен до сотен тысяч долларов, последствия могут быть серьёзными.

Анализ указывает на связь атаки с северокорейской группировкой Lazarus, также известной как Famous Chollima. Использованные методы совпадают с предыдущими кампаниями против разработчиков криптосервисов — поддельные пакеты, кража конфигурационных файлов и использование временных аккаунтов.

Ситуация осложняется тем, что удаление пакета не решает проблему полностью. При наличии SSH-доступа злоумышленник может сохранять контроль над системой. Разработчикам, которые успели установить «sleek-pretty», рекомендуют проверить файл authorized_keys, удалить посторонние ключи и сменить все учётные данные, включая API и приватные ключи.