Solana生態再遭攻擊 - 惡意NPM包竊取用戶私鑰事件分析

2025年7月初，一起針對Solana生態用戶的攻擊事件引起了安全團隊的關注。一名用戶在使用GitHub上的一個開源項目後，發現自己的加密資產被盜。經過深入調查，安全專家揭示了一個精心策劃的攻擊鏈條。

攻擊者僞裝成合法的開源項目，名爲"solana-pumpfun-bot"。這個項目的GitHub倉庫看似正常，擁有較高的Star和Fork數量。然而，仔細觀察發現，所有代碼的提交時間集中在三周前，缺乏持續更新的跡象。

進一步分析發現，項目依賴了一個名爲"crypto-layout-utils"的可疑第三方包。該包已被NPM官方下架，且指定的版本號在官方歷史記錄中不存在。攻擊者通過修改package-lock.json文件，將依賴包的下載連結替換爲自己控制的GitHub倉庫地址。

這個惡意NPM包經過高度混淆，內部實現了掃描用戶電腦文件的邏輯。一旦發現錢包或私鑰相關的內容，就會將其上傳到攻擊者控制的服務器。

攻擊者還採取了一系列措施來提高項目的可信度。他們控制多個GitHub帳號，用於Fork惡意項目並進行分發，同時刷高項目的Fork和Star數量，吸引更多用戶關注。

除了"crypto-layout-utils"，另一個名爲"bs58-encrypt-utils"的惡意包也被用於類似攻擊。這表明攻擊者在NPM下架包後，改變了攻擊策略，轉而使用替換下載連結的方式繼續分發惡意代碼。

通過鏈上分析工具追蹤，發現部分被盜資金被轉移到了某交易平台。

這次攻擊事件揭示了開源社區面臨的潛在風險。攻擊者通過僞裝成合法項目，並利用社會工程和技術手段相結合的方式，成功誘導用戶運行惡意代碼，導致私鑰泄露和資產被盜。

安全專家建議開發者和用戶對來源不明的GitHub項目保持高度警惕，尤其是涉及錢包或私鑰操作的項目。如需調試，最好在獨立且不含敏感數據的環境中進行。

這起事件再次提醒我們，在去中心化的開源世界中，用戶的安全意識和警惕性至關重要。同時，也呼籲平台方和社區加強對惡意項目的監管和快速響應機制，共同維護一個更安全的區塊鏈生態系統。