Згідно з повідомленням Jinse Finance, проект GitHub polymarket-copy-trading-bot був заражений шкідливим кодом. Програма при запуску автоматично читає закритий ключ гаманця з файлу .env користувача і передає його на сервер хакера через прихований шкідливий пакет excluder-mcp-package@1.0.4, що призводить до крадіжки активів.

За повідомленням ChainCatcher, Юй Сянь з SlowMist (@evilcos) нагадує, що деякі претенденти на роботу у Web3 під час співбесід стикаються з пастками із шкідливим кодом. У цьому випадку зловмисник видавав себе за @seracleofficial і вимагав від кандидата переглянути та запустити код з Bitbucket. Після клонування коду програма негайно сканувала всі локальні .env-файли та викрадала приватні ключі й іншу чутливу інформацію. Команда SlowMist зазначає, що такого роду бекдори є типовими stealer-програмами, які здатні збирати збережені паролі в браузерах, мнемонічні фрази та приватні ключі криптогаманців та інші приватні дані. Експерти наголошують, що під час перевірки підозрілого коду обов’язково слід працювати в ізольованому середовищі, уникати запуску коду на реальному пристрої, щоб не стати жертвою атаки.