‘폴리마켓 개발자 53명, 30개 노드 패키지에 연 8만 달러 봇 속아 지갑 털려’
플랭크

- 53명 개발자, 숨은 악성코드 설치로 지갑·자산 유출
- 30개 노드 패키지, 연 8만 달러 수익 과장 홍보로 현혹
2026년 7월1일, 보안 전문매체 슬로우미스트팀(SlowMist_Team), 세이프뎁(SafeDep), 크립토폴리탄(Cryptopolitan), 테크크런치(TechCrunch)에 따르면 폴리마켓 예측시장 자동매매 봇으로 위장한 노드 패키지 매니저(npm) 악성 코드가 배포돼 최소 53명이 지갑 개인키 등 정보탈취 피해를 입은 것으로 밝혀졌다.
보안 전문기업 슬로우미스트팀와 세이프뎁 등은 1일(현지시각) 30개 이상 노드 패키지 매니저 신규 계정이 폴리마켓 자동매매 봇 명칭으로 개발자 커뮤니티에 등장했다고 밝혔다. 이들은 연 8만 달러(약 1200만 원) 수익을 낸 성공사례를 제시했다. 또 실제 자산 증가 화면을 공개하는 등으로 신뢰를 얻었다. 해당 봇 설치 안내에는 개발자가 폴리마켓의 거래 지갑 프라이빗키와 패스워드를 환경설정(.env 파일)이나 입력 창에 반드시 적도록 유도했다.
설치 과정에서는 clob-client-math 등 숨겨진 의존성(디펜던시)이 자동 실행됐다. 그 결과 시스템 환경설정 파일, 브라우저 저장 비밀번호, 아마존웹서비스(AWS)·SSH 키, 각종 API 인증 토큰 등 디지털 자산 관련 핵심 정보를 해커가 실시간 수집‧전송할 수 있었다. 또한 이들은 패키지 파일(package.json, package-lock.json) 변조, npm 계정 신규화 등 최신 공급망 해킹 기법을 복합적으로 활용했다. 이를 통해 기존 보안 탐지망을 무력화하고 대량 확산에 성공했다.
한편 분석기업 세이프뎁 측은 이번 사건이 북한 연계 조직의 공급망 공격 캠페인 일부라고 밝혔다. 폴리마켓 예측시장 자동매매 소프트웨어를 활용하는 개발자와 트레이더가 고도화된 정보 탈취 공격 대상이 되고 있다고 경고했다. 피해가 드러날 경우 모든 지갑 키, 패스워드, API 토큰을 즉시 폐기‧재설정해야 한다고 덧붙였다. 또 프로젝트 루트 내 의존성 파일과 불필요 패키지 삭제 상태를 신속하게 점검해야 한다고 강조했다.
폴리마켓은 디파이(DeFi: 탈중앙화 금융) 기반 예측시장 플랫폼이다. 트레이딩 자동화와 시장 투자 봇 개발이 활발하다. 2026년 상반기에도 자동매매 프로그램을 노린 피싱·정보 탈취가 반복되고 있다. 따라서 관련 개발자 및 투자자 커뮤니티의 정보보안 경각심이 더욱 요구되고 있다.
최신소식을 메일로 받아보세요.





