Selon un rapport de Jinse, le projet GitHub polymarket-copy-trading-bot a été infecté par du code malveillant. Ce programme lit automatiquement la clé privée du portefeuille de l'utilisateur dans le fichier .env lors de son démarrage et l'envoie à un serveur de Hacker via un paquet de dépendances malveillantes caché excluder-mcp-package@1.0.4, entraînant le vol d'actifs.

Selon ChainCatcher, Yuxian de SlowMist (@evilcos) a averti que certains candidats à des emplois Web3 rencontrent des pièges de code malveillant lors des entretiens. Dans l’incident mentionné, l’attaquant s’est fait passer pour @seracleofficial et a demandé au candidat d’auditer et d’exécuter du code hébergé sur Bitbucket. Après avoir cloné le code, le programme a immédiatement scanné tous les fichiers .env locaux pour voler des clés privées et d’autres informations sensibles. SlowMist précise que ce type de porte dérobée est un stealer typique, capable de collecter les mots de passe enregistrés par le navigateur, les phrases mnémotechniques et les clés privées de portefeuilles crypto, entre autres données personnelles. Les experts soulignent qu’en cas de révision de code suspect, il est impératif d’opérer dans un environnement isolé et d’éviter toute exécution directe sur un appareil réel afin de prévenir une attaque.