惡意NPM包竊取私鑰導致Solana用戶資產被盜事件分析

2025年7月初，一起針對Solana用戶的資產盜竊事件引起了安全團隊的注意。一名受害者在使用GitHub上托管的開源項目後，發現其加密資產被盜。經過深入調查，安全團隊揭示了一個精心設計的攻擊鏈條。

攻擊者通過僞裝成合法的開源項目，誘導用戶下載並運行包含惡意代碼的Node.js項目。這個名爲"solana-pumpfun-bot"的項目表面上看起來很受歡迎，擁有較高的Star和Fork數量。然而，其代碼提交歷史顯示出異常模式，缺乏持續更新的特徵。

進一步分析發現，項目依賴了一個名爲"crypto-layout-utils"的可疑第三方包。這個包已被NPM官方下架，但攻擊者通過修改package-lock.json文件，將下載連結替換爲自己控制的GitHub倉庫地址，繼續分發惡意代碼。

解析這個高度混淆的惡意包後，安全團隊確認其功能是掃描用戶計算機上的敏感文件，特別是與加密錢包和私鑰相關的內容。一旦發現目標文件，就會將其上傳到攻擊者控制的服務器。

攻擊者還採用了多帳號協作的策略，通過大量Fork和Star操作提高項目可信度，擴大受害範圍。除了"crypto-layout-utils"，還發現了另一個名爲"bs58-encrypt-utils"的惡意包參與此次攻擊。

使用鏈上分析工具追蹤被盜資金流向，發現部分資金被轉移到了某交易平台。

這起事件凸顯了開源社區面臨的安全挑戰。攻擊者利用用戶對GitHub項目的信任，結合社會工程和技術手段，實施了一次復雜的攻擊。對於開發者和用戶來說，在處理涉及加密資產的項目時，保持高度警惕至關重要。建議在隔離的環境中測試未知來源的代碼，並時刻關注項目的真實性和可信度。

本次事件涉及多個惡意GitHub倉庫和NPM包，安全團隊已列出相關信息，以供社區參考和防範。這種攻擊方式的隱蔽性和欺騙性極強，提醒我們在探索新項目時需要更加謹慎，尤其是在涉及敏感操作時。