Solana用戶遭遇惡意NPM包攻擊，私鑰被竊取

2025年7月初，一位Solana用戶向安全團隊求助，稱其加密資產遭到盜竊。經調查發現，這是一起利用惡意NPM包竊取私鑰的攻擊事件。

安全團隊對事件展開深入分析。受害者使用了一個托管在GitHub上的開源項目solana-pumpfun-bot，該項目看似正常，擁有較高的Star和Fork數量。然而，進一步檢查發現，項目的代碼提交時間異常集中，缺乏持續更新的特徵。

項目依賴中包含一個名爲crypto-layout-utils的可疑第三方包。這個包已被NPM官方下架，且指定版本未出現在官方歷史記錄中。通過package-lock.json文件，發現攻擊者將該包的下載連結替換爲了GitHub上的一個自定義地址。

下載並分析這個高度混淆的依賴包後，安全團隊確認這是一個惡意NPM包。它會掃描用戶電腦上的敏感文件，尋找錢包或私鑰相關內容，並將發現的信息上傳到攻擊者控制的服務器。

攻擊者還可能控制了多個GitHub帳號，用於分發惡意程序並提高項目可信度。一些Fork項目中使用了另一個惡意包bs58-encrypt-utils。鏈上分析顯示，被盜資金部分流入了某交易平台。

這起事件揭示了攻擊者如何利用僞裝的開源項目和惡意NPM包竊取用戶私鑰。攻擊手法結合了社會工程和技術手段，具有較強的欺騙性和隱蔽性。

對此，安全專家建議開發者和用戶應對來源不明的GitHub項目保持高度警惕，尤其是涉及錢包或私鑰操作時。如需調試，最好在獨立且無敏感數據的環境中進行。

此次事件涉及多個惡意GitHub倉庫和NPM包。攻擊者通過替換NPM包下載連結、使用混淆代碼等手段隱藏惡意行爲。受害者在無意間運行攜帶惡意依賴的項目後，導致私鑰泄露、資產被盜。

這類攻擊凸顯了開源生態系統中的安全風險，提醒我們在使用第三方代碼時需保持警惕，加強對依賴包的審查。同時，平台方也應加強對惡意行爲的監測和處理，共同維護開源社區的安全環境。