Solana用户资产遭窃：恶意NPM包窃取私钥事件分析

2025年7月初，一起针对Solana用户的资产盗窃事件引起了安全专家的关注。事件源于一名用户在使用GitHub上托管的开源项目"solana-pumpfun-bot"后，发现其加密资产被盗。

安全团队对该事件展开调查后发现，攻击者通过伪装成合法开源项目，诱导用户下载并运行包含恶意代码的Node.js项目。这个项目依赖了一个名为"crypto-layout-utils"的可疑第三方包，该包已被NPM官方下架。

深入分析发现，攻击者巧妙地将"crypto-layout-utils"的下载链接替换为一个托管在GitHub上的恶意版本。这个恶意包能够扫描用户电脑上的敏感文件，寻找钱包或私钥相关信息，并将这些数据上传到攻击者控制的服务器。

调查还揭示，攻击者可能控制了多个GitHub账号，用于分发恶意程序并提高项目的热度。他们通过Fork项目和增加Star数量来吸引更多用户，扩大攻击范围。除了"crypto-layout-utils"，另一个名为"bs58-encrypt-utils"的恶意包也被用于类似攻击。

通过区块链分析工具追踪，安全团队发现被盗资金被转移到了某交易平台。

这次事件凸显了开源社区面临的安全挑战。攻击者结合社会工程和技术手段，使得即便是组织内部也难以完全防御此类攻击。专家建议开发者和用户对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作时。如需调试，最好在隔离且不含敏感数据的环境中进行。

最后，安全团队公布了一系列与此次攻击相关的恶意Node.js项目GitHub仓库、恶意NPM包名称及其下载链接，以及被用于数据上传的恶意服务器域名，以供社区参考和防范。

这起事件再次提醒我们，在去中心化和开源的世界中，用户的警惕和自我保护意识至关重要。同时，也呼吁开发社区加强对第三方依赖的审核和管理，共同维护一个更安全的加密生态系统。