Solana用戶資產被盜事件分析：惡意NPM包竊取私鑰

2025年7月初，一名用戶向安全團隊求助，稱在使用GitHub上一個名爲solana-pumpfun-bot的開源項目後，其加密資產遭到盜竊。經過調查，這起事件揭示了一個精心策劃的攻擊鏈條，涉及惡意NPM包、僞裝的GitHub項目和社會工程學手段。

事件調查

安全團隊訪問了涉事GitHub倉庫，發現該項目雖然有較高的Star和Fork數量，但代碼更新異常集中，缺乏持續維護的特徵。進一步分析顯示，項目依賴了一個可疑的第三方包crypto-layout-utils，該包已被NPM官方下架。

通過檢查package-lock.json文件，研究人員發現攻擊者將crypto-layout-utils的下載連結替換爲了一個GitHub release地址。下載並分析這個高度混淆的依賴包後，確認其爲惡意代碼，具有掃描用戶計算機文件和上傳敏感信息的功能。

攻擊手法

攻擊者疑似控制了多個GitHub帳號，用於分發惡意項目並提高其可信度。他們通過Fork和Star操作提升項目熱度，吸引更多用戶關注和使用。除了crypto-layout-utils，還發現了另一個名爲bs58-encrypt-utils的惡意包參與攻擊。

使用鏈上分析工具追蹤發現，被盜資金最終流向了某交易平台。

總結與建議

這次攻擊巧妙地結合了技術手段和社會工程學策略。攻擊者通過僞裝合法開源項目，誘導用戶下載並運行含有惡意依賴的Node.js程序，從而竊取錢包私鑰和資產。

爲防範類似攻擊，建議開發者和用戶：

1. 對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作的項目。
2. 在獨立且無敏感數據的環境中運行和調試不熟悉的代碼。
3. 定期檢查項目依賴，確保使用官方認證的包。
4. 關注項目的更新歷史和社區反饋，謹防突然爆紅但缺乏長期維護的項目。

此事件再次提醒我們，在開放的開源生態系統中，安全意識和謹慎態度至關重要。