Solana用户遭遇新型钓鱼攻击 恶意NPM包窃取私钥导致资产损失

robot
摘要生成中

Solana用户遭遇新型钓鱼攻击,恶意NPM包窃取私钥导致资产损失

2025年7月初,一起针对Solana用户的新型钓鱼攻击事件引起了安全专家的关注。一名用户在使用GitHub上一个开源项目后,发现自己的加密资产被盗。经过调查,安全团队揭示了一个精心设计的攻击链条,涉及恶意NPM包和多个GitHub账号的协同操作。

事件始末

受害者于7月1日使用了名为"solana-pumpfun-bot"的GitHub项目,次日发现资产被盗。安全团队随即展开调查,发现该项目存在多个可疑之处:

  1. 项目的Star和Fork数量异常高,但代码更新集中在三周前,缺乏持续维护特征。
  2. 项目依赖中包含一个名为"crypto-layout-utils"的可疑第三方包。
  3. 该可疑包已被NPM官方下架,且指定版本不在官方历史记录中。

恶意NPM包窃私钥,Solana用户资产遭盗

攻击手法分析

深入分析发现,攻击者采用了以下手段:

  1. 在package-lock.json中替换了可疑包的下载链接,指向GitHub上的一个自制版本。
  2. 这个版本的代码经过高度混淆,增加了分析难度。
  3. 解混淆后发现,该包会扫描用户电脑文件,寻找钱包或私钥相关内容,并上传到攻击者控制的服务器。
  4. 攻击者可能控制了多个GitHub账号,用于Fork恶意项目并刷高热度,扩大传播范围。

恶意NPM包窃私钥,Solana用户资产遭盗

恶意NPM包窃私钥,Solana用户资产遭盗

恶意NPM包窃私钥,Solana用户资产遭盗

恶意NPM包窃私钥,Solana用户资产遭盗

资金流向

通过链上分析工具追踪,发现被盗资金部分被转移至某交易平台。

恶意NPM包窃私钥,Solana用户资产遭盗

攻击范围扩大

调查还发现多个相关的Fork项目也存在类似恶意行为,部分版本使用了另一个恶意包"bs58-encrypt-utils-1.0.3"。这表明攻击者早在6月中旬就开始分发恶意NPM包和Node.js项目。

恶意NPM包窃私钥,Solana用户资产遭盗

恶意NPM包窃私钥,Solana用户资产遭盗

恶意NPM包窃私钥,Solana用户资产遭盗

安全建议

  1. 对来源不明的GitHub项目保持高度警惕,特别是涉及钱包或私钥操作的项目。
  2. 如需调试此类项目,建议在独立且无敏感数据的环境中进行。
  3. 开发者应定期检查项目依赖,警惕可疑的第三方包。
  4. 用户应使用硬件钱包等更安全的存储方式,避免将私钥明文存储在电脑中。

恶意NPM包窃私钥,Solana用户资产遭盗

此次事件再次提醒我们,在去中心化的开源世界中,个人安全意识和基本防护措施至关重要。攻击者正在不断创新手法,我们也需要与时俱进,提高警惕,保护好自己的数字资产。

恶意NPM包窃私钥,Solana用户资产遭盗

SOL2.89%
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 赞赏
  • 4
  • 分享
评论
0/400
Moon火箭手vip
· 5小时前
RSI警报!又一个韭菜掉进轨道陷阱 得亏我对坐标斜率算过概率推演
回复0
委托书收集者vip
· 5小时前
早说了npm包别乱引啊!
回复0
熊市搬砖侠vip
· 5小时前
就这也能中招?
回复0
gas_fee_therapyvip
· 6小时前
又被韭菜了???服了
回复0
交易,随时随地
qrCode
扫码下载 Gate APP
社群列表
简体中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)