安全警报：通过GitHub中的受损依赖项窃取私钥

已检测到影响GitHub平台开发者的严重安全警报。项目polymarket-copy-trading-bot已被植入恶意代码，在应用程序初始化期间自动窃取用户钱包的私钥。此事件对任何安装或使用该仓库的人构成重大威胁。

密钥被盗的方式

攻击机制复杂但有效。当程序启动时，恶意代码会自动提取存储在用户的.env文件中的私钥。随后，这些敏感信息通过一个看似合法的依赖包@easynode/ethers-utils被传输到由攻击者控制的服务器。

该攻击利用开发者对npm库的信任。通过集成被破坏的依赖，恶意代码在用户不知情的情况下悄然执行，窃取其最宝贵的加密凭证。

恶意代码的识别

在此次攻击中使用的恶意包被识别为@easynode/ethers-utils。其主要目标是在应用程序使用私钥之前拦截它。一旦窃取，信息会被加密传输到攻击者的服务器，使其能够完全访问受害者的数字资产。

这种在依赖中注入代码的策略特别危险，因为许多开发者不会检查所有导入库的源代码，从而使安全威胁得以扩散。

保护资产的建议

如果你使用了polymarket-copy-trading-bot项目，必须立即采取行动。首先，停止所有程序实例，并检查你的.env文件，确认私钥是否已被泄露。任何与这些凭证关联的钱包都可能处于风险中。

作为额外的预防措施，在安装任何npm包之前，务必验证其声誉，审查更新历史和包含的依赖。使用安全分析工具检测依赖中的恶意代码，确保在本地环境中运行前已排除风险。

此次安全警报强调了在开发项目中保持强健的秘密管理和代码验证实践的重要性。GitHub社区应保持警惕，防范类似的依赖被破坏的威胁。