Solana用戶遭遇新型釣魚攻擊，惡意NPM包竊取私鑰導致資產損失

2025年7月初，一起針對Solana用戶的新型釣魚攻擊事件引起了安全專家的關注。一名用戶在使用GitHub上一個開源項目後，發現自己的加密資產被盜。經過調查，安全團隊揭示了一個精心設計的攻擊鏈條，涉及惡意NPM包和多個GitHub帳號的協同操作。

事件始末

受害者於7月1日使用了名爲"solana-pumpfun-bot"的GitHub項目，次日發現資產被盜。安全團隊隨即展開調查，發現該項目存在多個可疑之處：

1. 項目的Star和Fork數量異常高，但代碼更新集中在三周前，缺乏持續維護特徵。
2. 項目依賴中包含一個名爲"crypto-layout-utils"的可疑第三方包。
3. 該可疑包已被NPM官方下架，且指定版本不在官方歷史記錄中。

攻擊手法分析

深入分析發現，攻擊者採用了以下手段：

1. 在package-lock.json中替換了可疑包的下載連結，指向GitHub上的一個自制版本。
2. 這個版本的代碼經過高度混淆，增加了分析難度。
3. 解混淆後發現，該包會掃描用戶電腦文件，尋找錢包或私鑰相關內容，並上傳到攻擊者控制的服務器。
4. 攻擊者可能控制了多個GitHub帳號，用於Fork惡意項目並刷高熱度，擴大傳播範圍。

資金流向

通過鏈上分析工具追蹤，發現被盜資金部分被轉移至某交易平台。

攻擊範圍擴大

調查還發現多個相關的Fork項目也存在類似惡意行爲，部分版本使用了另一個惡意包"bs58-encrypt-utils-1.0.3"。這表明攻擊者早在6月中旬就開始分發惡意NPM包和Node.js項目。

安全建議

1. 對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作的項目。
2. 如需調試此類項目，建議在獨立且無敏感數據的環境中進行。
3. 開發者應定期檢查項目依賴，警惕可疑的第三方包。
4. 用戶應使用硬體錢包等更安全的存儲方式，避免將私鑰明文存儲在電腦中。

此次事件再次提醒我們，在去中心化的開源世界中，個人安全意識和基本防護措施至關重要。攻擊者正在不斷創新手法，我們也需要與時俱進，提高警惕，保護好自己的數字資產。