Solana用户遭遇恶意NPM包攻击，私钥被窃取

2025年7月初，一位Solana用户向安全团队求助，称其加密资产遭到盗窃。经调查发现，这是一起利用恶意NPM包窃取私钥的攻击事件。

安全团队对事件展开深入分析。受害者使用了一个托管在GitHub上的开源项目solana-pumpfun-bot，该项目看似正常，拥有较高的Star和Fork数量。然而，进一步检查发现，项目的代码提交时间异常集中，缺乏持续更新的特征。

项目依赖中包含一个名为crypto-layout-utils的可疑第三方包。这个包已被NPM官方下架，且指定版本未出现在官方历史记录中。通过package-lock.json文件，发现攻击者将该包的下载链接替换为了GitHub上的一个自定义地址。

下载并分析这个高度混淆的依赖包后，安全团队确认这是一个恶意NPM包。它会扫描用户电脑上的敏感文件，寻找钱包或私钥相关内容，并将发现的信息上传到攻击者控制的服务器。

攻击者还可能控制了多个GitHub账号，用于分发恶意程序并提高项目可信度。一些Fork项目中使用了另一个恶意包bs58-encrypt-utils。链上分析显示，被盗资金部分流入了某交易平台。

这起事件揭示了攻击者如何利用伪装的开源项目和恶意NPM包窃取用户私钥。攻击手法结合了社会工程和技术手段，具有较强的欺骗性和隐蔽性。

对此，安全专家建议开发者和用户应对来源不明的GitHub项目保持高度警惕，尤其是涉及钱包或私钥操作时。如需调试，最好在独立且无敏感数据的环境中进行。

此次事件涉及多个恶意GitHub仓库和NPM包。攻击者通过替换NPM包下载链接、使用混淆代码等手段隐藏恶意行为。受害者在无意间运行携带恶意依赖的项目后，导致私钥泄露、资产被盗。

这类攻击凸显了开源生态系统中的安全风险，提醒我们在使用第三方代码时需保持警惕，加强对依赖包的审查。同时，平台方也应加强对恶意行为的监测和处理，共同维护开源社区的安全环境。