Solana用戶遭遇惡意NPM包攻擊，私鑰被竊

2025年7月初，一名Solana用戶向安全團隊求助，稱自己在使用GitHub上的一個開源項目後遭遇資產被盜。經調查發現，這是一起精心策劃的惡意NPM包攻擊事件。

攻擊者僞裝成名爲solana-pumpfun-bot的合法開源項目，通過多個GitHub帳號協作提高項目熱度和可信度。該項目依賴了一個惡意的NPM包crypto-layout-utils，該包已被官方下架。

攻擊者在package-lock.json中替換了crypto-layout-utils的下載連結，指向自己控制的GitHub倉庫。這個惡意包會掃描用戶電腦上的錢包文件和私鑰，並將敏感信息上傳到攻擊者的服務器。

分析顯示，攻擊者可能從6月中旬就開始分發惡意NPM包和Node.js項目。在早期版本中還使用了另一個惡意包bs58-encrypt-utils。

這種攻擊手法結合了社會工程和技術手段，具有很強的欺騙性和隱蔽性。用戶在毫無防備的情況下運行了攜帶惡意依賴的項目，導致私鑰泄露和資產被盜。

安全專家建議，開發者和用戶應對來路不明的GitHub項目保持高度警惕，尤其是涉及錢包或私鑰操作的項目。如需調試此類項目，最好在獨立且不含敏感數據的環境中進行。

此次事件再次警示我們，在開放的開源生態中，惡意代碼僞裝的手段越來越高明。用戶和開發者都需要提高安全意識，加強對第三方依賴的審查，以防範此類攻擊。