Копировальные боты Polymarket Copy Trading, распространяющие вредоносный код, нацеленный на приватные ключи

Исследователи безопасности из SlowMist Technology выпустили критическое предупреждение о опасной угрозе, скрывающейся в торговых приложениях, связанных с Polymarket. Согласно отчетам конца декабря 2024 года, разработчик создал программу бота для копитрейдинга, содержащую скрытый вредоносный код, предназначенный для компрометации безопасности кошелька пользователя. Этот инцидент подчеркивает растущую тенденцию атак через цепочку поставок в экосистеме криптовалют.

Как работает атака: внедрение кода на базе GitHub

Атака начинается там, где обычно работают разработчики — на GitHub, где открыто делятся репозиториями кода. Вредоносный код был специально встроен в исходный код бота для копитрейдинга Polymarket, замаскирован среди легитимных функций. Что делает эту атаку особенно коварной, так это методология злоумышленника: вредоносные компоненты распространялись через несколько коммитов, что значительно усложняло обнаружение для аудиторов безопасности и случайных ревьюеров кода.

При запуске скомпрометированная программа выполняет, казалось бы, безобидное действие — она читает файл пользователя “.env”, который обычно используется в средах разработки для хранения конфиденциальных данных, включая приватные ключи кошелька. Однако вместо простого доступа к локальным данным программа немедленно передает эти учетные данные на внешние серверы, контролируемые злоумышленником, фактически похищая приватные ключи, дающие полный доступ к криптоактивам пользователя.

Кража приватных ключей через эксплуатацию конфигурационного файла

Этот вектор атаки использует фундаментальное доверие в сообществе разработчиков: что репозитории кода безопасны и что скачиваемые open-source проекты не содержат преднамеренных скрытых угроз. Стратегия злоумышленника — постоянно изменять и повторно коммитить код на GitHub, что выполняет двойную задачу: во-первых, усложняет обнаружение вредоносной нагрузки при одном просмотре кода, а во-вторых, создает несколько «версий» угрозы, которые могут уклоняться от статического анализа.

Эксплуатация файла .env особенно опасна, потому что многие разработчики хранят там свои самые чувствительные учетные данные, считая его локальной мерой безопасности, которая не требует шифрования. Пользователи, скачивающие бота, не подозревали, что запуск его может раскрыть их приватные ключи удаленным злоумышленникам.

Предупреждение SlowMist Security Alert: о повторяющихся угрозах

23pds, главный специалист по информационной безопасности SlowMist Technology, усилил это предупреждение для широкой аудитории, подчеркнув, что данный инцидент следует тревожному паттерну. Его заявление: «Это не первый раз, и не последний», подчеркивает, что атаки через цепочку поставок и внедрение вредоносного кода стали систематической угрозой, а не единичными инцидентами.

Вмешательство SlowMist важно, потому что компания зарекомендовала себя как надежный голос в области безопасности криптовалют, регулярно выявляя уязвимости и угрозы, которые иначе могли бы остаться незамеченными. Готовность организации публично озвучить эту угрозу демонстрирует серьезность оценки ими масштабов этой кампании вредоносного кода.

Как защитить свой кошелек от вредоносных ботов и кода

Выводы очевидны: скачивание и запуск торговых ботов, автоматизированных скриптов или любых сторонних инструментов требует тщательной проверки. Пользователи должны придерживаться нескольких правил защиты:

• Тщательно проверяйте исходный код перед запуском или консультируйтесь с опытными разработчиками, которые могут провести аудит кода на наличие скрытых угроз
• Никогда не храните приватные ключи или сид-фразы в файлах .env или любых незашищенных локальных файлах
• Используйте аппаратные кошельки или системы с изоляцией (air-gapped) для долгосрочного хранения активов, чтобы минимизировать риск компрометации программным обеспечением
• Регулярно отслеживайте активность кошелька на предмет несанкционированных транзакций, которые могут указывать на утечку ключей
• Будьте скептичны к решениям копитрейдинга, требующим доступа к приватным ключам или сид-фразам — легитимные инструменты обычно используют API-ключи с ограниченными правами

Способность сообщества выявлять и предупреждать о вредоносном коде остается важнейшим механизмом защиты, но в конечном итоге, индивидуальная бдительность и осторожная оценка программного обеспечения — наиболее эффективные меры против этих постоянно эволюционирующих угроз.