，GitHub 项目 polymarket-copy-trading-bot 被植入恶意代码。该程序在启动时会自动读取用户 .env 文件中的钱包私钥，并通过隐藏的恶意依赖包 excluder-mcp-package@1.0.4 外传至黑客服务器，导致资产被盗。