安全警報：通過 GitHub 中受損依賴項的私鑰盜取

已偵測到一項嚴重的安全警報，影響 GitHub 平台上的開發者。polymarket-copy-trading-bot 項目已被植入惡意程式碼，該程式碼在應用程式初始化時自動竊取用戶錢包的私鑰。此事件對任何已安裝或使用該存儲庫的人構成重大威脅。

如何進行密鑰竊取

攻擊機制巧妙但有效。當程式啟動時，惡意程式碼會自動提取存放在用戶 .env 檔案中的私鑰。這些敏感資訊隨後會通過一個看似合法的依賴套件 @easynode/ethers-utils 傳送到由攻擊者控制的伺服器。

此攻擊利用開發者對 npm 套件的信任。將受感染的依賴整合進來後，惡意程式碼會在用戶不知情的情況下悄悄執行，竊取最寶貴的加密憑證。

惡意程式碼的識別

此攻擊中使用的惡意套件被識別為 @easynode/ethers-utils。其主要目標是在應用程式使用私鑰之前攔截它。一旦竊取，資訊會以加密方式傳送到攻擊者的伺服器，使他們能完全存取受害者的數位資產。

這種在依賴套件中注入程式碼的手法尤其危險，因為許多開發者不會檢查所有引入的套件源碼，這使得安全威脅更易擴散。

保護資產的建議

如果你曾使用 polymarket-copy-trading-bot 項目，請立即採取行動。首先，停止所有程式實例，並檢查你的 .env 檔案，確認私鑰是否已被竊取。請注意，與這些憑證相關聯的任何錢包都可能處於風險中。

作為額外的預防措施，在安裝任何 npm 套件之前，請先驗證其聲譽，檢查更新歷史與依賴內容。使用安全分析工具來偵測依賴中的惡意程式碼，避免在本地環境中執行受感染的套件。

此安全警示強調了在開發專案中維持嚴謹的秘密管理與程式碼驗證實踐的重要性。GitHub 社群應保持警覺，防範類似的依賴套件被攻擊的威脅。