Solana用戶遭遇惡意NPM包盜取私鑰事件分析

2025年7月初，一名Solana用戶向安全團隊求助，稱其使用GitHub上的一個開源項目後，加密資產被盜。經調查發現，這是一起利用惡意NPM包竊取用戶私鑰的攻擊事件。

事件經過

受害者使用了名爲solana-pumpfun-bot的GitHub項目，該項目看似正常，擁有較高的Star和Fork數量。然而，項目代碼的更新時間集中在三周前，缺乏持續更新的特徵。

進一步分析發現，項目依賴了一個可疑的第三方包crypto-layout-utils。這個包已從NPM官方下架，且指定版本無歷史記錄。原來攻擊者通過修改package-lock.json文件，將依賴包下載連結指向了自己控制的GitHub倉庫。

惡意包分析

安全團隊下載並分析了可疑的crypto-layout-utils-1.3.1包，發現其代碼經過高度混淆。解混淆後確認這是一個惡意NPM包，它會掃描用戶電腦上的敏感文件，如發現錢包或私鑰相關內容就上傳到攻擊者的服務器。

攻擊手法

攻擊者可能控制了多個GitHub帳號，用於分發惡意程序並提高項目熱度。他們通過僞裝成合法開源項目，誘導用戶下載運行含惡意依賴的Node.js代碼，從而竊取私鑰。

此外還發現另一個惡意包bs58-encrypt-utils-1.0.3，推測攻擊活動最早可能始於2025年6月中旬。

資金去向

通過鏈上分析工具追蹤發現，被盜資金有部分被轉移至某交易平台。

安全建議

1. 對來源不明的GitHub項目保持警惕，特別是涉及錢包操作的項目。

2. 必要時在隔離環境中運行和調試未知項目。

3. 開發者應仔細審查第三方依賴，警惕可疑的包或下載連結。

4. 定期檢查並更新項目依賴，及時移除存在安全隱患的組件。

5. 使用可信的安全工具定期掃描項目代碼，及早發現潛在威脅。

本次事件再次表明，攻擊者正在不斷創新手法，針對開源生態系統發起攻擊。開發者和用戶都需提高安全意識，共同維護健康的開源環境。