安全警報：GitHub上的惡意機器人竊取用戶私鑰

一起嚴重的事件危及了 GitHub 上的開發者。已經確認一個偽裝成合法追蹤者的機器人，已經在項目中滲透了惡意代碼，目的是竊取用戶錢包的私鑰。這一安全警報需要所有涉及加密貨幣工作的人立即注意。

惡意機器人攻擊的運作方式

名為 polymarket-copy-trading-bot 的項目已被植入隱秘運作的惡意代碼。當啟動程序時，它會自動定位並讀取存儲在配置文件 .env 中的用戶錢包私鑰。一旦捕獲到這些敏感信息，它會通過隱藏的依賴傳輸到由攻擊者控制的伺服器。

這個機制尤其危險，因為用戶可能無法立即察覺到被盜。該機器人在初始化階段在背景中運行，秘密地提取關鍵數據，沒有明顯的惡意活動跡象。

對數字資產的風險

私鑰被竊取對加密資金構成生存威脅。有了這些私鑰，攻擊者可以不受限制地轉移錢包中的全部資產。損失可能瞬間發生且不可逆，因為區塊鏈上的交易無法撤銷。

緊急保護措施

所有用戶應立即檢查自己的 GitHub 儲存庫，並審查項目中的任何可疑依賴。建議措施包括：

• 更換所有曾暴露的私鑰
• 如果懷疑資金已被攻破，將資金轉移到安全的錢包
• 定期審核 .env 文件和依賴包
• 使用具有限制權限的環境變數
• 在部署任何更改前進行代碼審查

此安全警報強調在開發環境中保持持續警惕的重要性，以及時刻保護加密憑證。