Solana生态再遭攻击 - 恶意NPM包窃取用户私钥事件分析

2025年7月初，一起针对Solana生态用户的攻击事件引起了安全团队的关注。一名用户在使用GitHub上的一个开源项目后，发现自己的加密资产被盗。经过深入调查，安全专家揭示了一个精心策划的攻击链条。

攻击者伪装成合法的开源项目，名为"solana-pumpfun-bot"。这个项目的GitHub仓库看似正常，拥有较高的Star和Fork数量。然而，仔细观察发现，所有代码的提交时间集中在三周前，缺乏持续更新的迹象。

进一步分析发现，项目依赖了一个名为"crypto-layout-utils"的可疑第三方包。该包已被NPM官方下架，且指定的版本号在官方历史记录中不存在。攻击者通过修改package-lock.json文件，将依赖包的下载链接替换为自己控制的GitHub仓库地址。

这个恶意NPM包经过高度混淆，内部实现了扫描用户电脑文件的逻辑。一旦发现钱包或私钥相关的内容，就会将其上传到攻击者控制的服务器。

攻击者还采取了一系列措施来提高项目的可信度。他们控制多个GitHub账号，用于Fork恶意项目并进行分发，同时刷高项目的Fork和Star数量，吸引更多用户关注。

除了"crypto-layout-utils"，另一个名为"bs58-encrypt-utils"的恶意包也被用于类似攻击。这表明攻击者在NPM下架包后，改变了攻击策略，转而使用替换下载链接的方式继续分发恶意代码。

通过链上分析工具追踪，发现部分被盗资金被转移到了某交易平台。

这次攻击事件揭示了开源社区面临的潜在风险。攻击者通过伪装成合法项目，并利用社会工程和技术手段相结合的方式，成功诱导用户运行恶意代码，导致私钥泄露和资产被盗。

安全专家建议开发者和用户对来源不明的GitHub项目保持高度警惕，尤其是涉及钱包或私钥操作的项目。如需调试，最好在独立且不含敏感数据的环境中进行。

这起事件再次提醒我们，在去中心化的开源世界中，用户的安全意识和警惕性至关重要。同时，也呼吁平台方和社区加强对恶意项目的监管和快速响应机制，共同维护一个更安全的区块链生态系统。