恶意NPM包窃取私钥导致Solana用户资产被盗事件分析

2025年7月初，一起针对Solana用户的资产盗窃事件引起了安全团队的注意。一名受害者在使用GitHub上托管的开源项目后，发现其加密资产被盗。经过深入调查，安全团队揭示了一个精心设计的攻击链条。

攻击者通过伪装成合法的开源项目，诱导用户下载并运行包含恶意代码的Node.js项目。这个名为"solana-pumpfun-bot"的项目表面上看起来很受欢迎，拥有较高的Star和Fork数量。然而，其代码提交历史显示出异常模式，缺乏持续更新的特征。

进一步分析发现，项目依赖了一个名为"crypto-layout-utils"的可疑第三方包。这个包已被NPM官方下架，但攻击者通过修改package-lock.json文件，将下载链接替换为自己控制的GitHub仓库地址，继续分发恶意代码。

解析这个高度混淆的恶意包后，安全团队确认其功能是扫描用户计算机上的敏感文件，特别是与加密钱包和私钥相关的内容。一旦发现目标文件，就会将其上传到攻击者控制的服务器。

攻击者还采用了多账号协作的策略，通过大量Fork和Star操作提高项目可信度，扩大受害范围。除了"crypto-layout-utils"，还发现了另一个名为"bs58-encrypt-utils"的恶意包参与此次攻击。

使用链上分析工具追踪被盗资金流向，发现部分资金被转移到了某交易平台。

这起事件凸显了开源社区面临的安全挑战。攻击者利用用户对GitHub项目的信任，结合社会工程和技术手段，实施了一次复杂的攻击。对于开发者和用户来说，在处理涉及加密资产的项目时，保持高度警惕至关重要。建议在隔离的环境中测试未知来源的代码，并时刻关注项目的真实性和可信度。

本次事件涉及多个恶意GitHub仓库和NPM包，安全团队已列出相关信息，以供社区参考和防范。这种攻击方式的隐蔽性和欺骗性极强，提醒我们在探索新项目时需要更加谨慎，尤其是在涉及敏感操作时。