Solana用戶資產遭竊：惡意NPM包竊取私鑰事件分析

2025年7月初，一起針對Solana用戶的資產盜竊事件引起了安全專家的關注。事件源於一名用戶在使用GitHub上托管的開源項目"solana-pumpfun-bot"後，發現其加密資產被盜。

安全團隊對該事件展開調查後發現，攻擊者通過僞裝成合法開源項目，誘導用戶下載並運行包含惡意代碼的Node.js項目。這個項目依賴了一個名爲"crypto-layout-utils"的可疑第三方包，該包已被NPM官方下架。

深入分析發現，攻擊者巧妙地將"crypto-layout-utils"的下載連結替換爲一個托管在GitHub上的惡意版本。這個惡意包能夠掃描用戶電腦上的敏感文件，尋找錢包或私鑰相關信息，並將這些數據上傳到攻擊者控制的服務器。

調查還揭示，攻擊者可能控制了多個GitHub帳號，用於分發惡意程序並提高項目的熱度。他們通過Fork項目和增加Star數量來吸引更多用戶，擴大攻擊範圍。除了"crypto-layout-utils"，另一個名爲"bs58-encrypt-utils"的惡意包也被用於類似攻擊。

通過區塊鏈分析工具追蹤，安全團隊發現被盜資金被轉移到了某交易平台。

這次事件凸顯了開源社區面臨的安全挑戰。攻擊者結合社會工程和技術手段，使得即便是組織內部也難以完全防御此類攻擊。專家建議開發者和用戶對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作時。如需調試，最好在隔離且不含敏感數據的環境中進行。

最後，安全團隊公布了一系列與此次攻擊相關的惡意Node.js項目GitHub倉庫、惡意NPM包名稱及其下載連結，以及被用於數據上傳的惡意服務器域名，以供社區參考和防範。

這起事件再次提醒我們，在去中心化和開源的世界中，用戶的警惕和自我保護意識至關重要。同時，也呼籲開發社區加強對第三方依賴的審核和管理，共同維護一個更安全的加密生態系統。