Solana用户遭遇恶意NPM包攻击，私钥被窃

2025年7月初，一名Solana用户向安全团队求助，称自己在使用GitHub上的一个开源项目后遭遇资产被盗。经调查发现，这是一起精心策划的恶意NPM包攻击事件。

攻击者伪装成名为solana-pumpfun-bot的合法开源项目，通过多个GitHub账号协作提高项目热度和可信度。该项目依赖了一个恶意的NPM包crypto-layout-utils，该包已被官方下架。

攻击者在package-lock.json中替换了crypto-layout-utils的下载链接，指向自己控制的GitHub仓库。这个恶意包会扫描用户电脑上的钱包文件和私钥，并将敏感信息上传到攻击者的服务器。

分析显示，攻击者可能从6月中旬就开始分发恶意NPM包和Node.js项目。在早期版本中还使用了另一个恶意包bs58-encrypt-utils。

这种攻击手法结合了社会工程和技术手段，具有很强的欺骗性和隐蔽性。用户在毫无防备的情况下运行了携带恶意依赖的项目，导致私钥泄露和资产被盗。

安全专家建议，开发者和用户应对来路不明的GitHub项目保持高度警惕，尤其是涉及钱包或私钥操作的项目。如需调试此类项目，最好在独立且不含敏感数据的环境中进行。

此次事件再次警示我们，在开放的开源生态中，恶意代码伪装的手段越来越高明。用户和开发者都需要提高安全意识，加强对第三方依赖的审查，以防范此类攻击。