Solana用户资产遭盗：开源项目暗藏恶意代码

2025年7月初，一位用户在使用GitHub上的开源项目后发现自己的加密资产被盗，随即向安全团队寻求帮助。经调查发现，这是一起精心策划的攻击事件，涉及伪装的开源项目和恶意NPM包。

调查人员首先访问了事发项目的GitHub仓库。该项目虽然拥有较高的Star和Fork数量，但其代码提交时间集中在三周前，缺乏持续更新的特征，引发了调查人员的怀疑。

进一步分析发现，项目依赖了一个名为crypto-layout-utils的第三方包。这个包已被NPM官方下架，而且package.json中指定的版本在NPM官方历史记录中并不存在。

关键线索出现在package-lock.json文件中：攻击者将crypto-layout-utils的下载链接替换为了一个GitHub上的地址。下载并分析这个可疑依赖包后，调查人员发现这是一个经过高度混淆的恶意代码。

解混淆后确认，这个NPM包会扫描用户电脑上的文件，寻找钱包或私钥相关的内容，一旦发现就上传到攻击者控制的服务器。

调查还发现，攻击者可能控制了多个GitHub账号，用于复制恶意项目并提高其可信度。一些相关项目使用了另一个恶意包bs58-encrypt-utils-1.0.3，该包自2025年6月12日起就开始分发。

通过链上分析工具追踪，发现一个攻击者地址在盗取资金后，将其转移至了一个加密货币交易平台。

总的来说，这次攻击通过伪装成合法开源项目，诱导用户下载并运行含有恶意代码的软件。攻击者还通过刷高项目热度来增加可信度，使用户在毫无防备的情况下运行了携带恶意依赖的项目，导致私钥泄露和资产被盗。

这种攻击手法结合了社会工程和技术手段，即使在组织内部也难以完全防御。建议开发者和用户对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作时。如需运行调试，最好在独立且无敏感数据的环境中进行。

涉事项目及恶意包信息

多个GitHub仓库被发现参与传播恶意代码，包括但不限于：

• 2723799947qq2022/solana-pumpfun-bot
• 2kwkkk/solana-pumpfun-bot
• 790659193qqch/solana-pumpfun-bot
• 7arlystar/solana-pumpfun-bot
• 918715c83/solana-pumpfun-bot

恶意NPM包：

• crypto-layout-utils
• bs58-encrypt-utils

攻击者控制的服务器域名：

• githubshadow.xyz