Solana用戶遭受惡意NPM包攻擊，私鑰被盜

2025年7月初，一起針對Solana用戶的惡意攻擊事件引起了安全專家的關注。一名用戶在使用GitHub上的一個開源項目後，發現自己的加密資產被盜。經過深入調查，安全團隊揭示了這起事件的來龍去脈。

事件概要

受害者使用了名爲"solana-pumpfun-bot"的GitHub項目，隨後發現錢包資產被盜。調查顯示，該項目包含惡意NPM包，能夠掃描用戶電腦並竊取私鑰信息。

攻擊手法分析

1. 攻擊者在GitHub上僞造了一個看似正常的開源項目。

2. 項目依賴了一個名爲"crypto-layout-utils"的可疑NPM包。

3. 攻擊者替換了該包的下載連結，指向自己控制的惡意版本。

4. 惡意包會掃描用戶電腦，尋找錢包和私鑰相關文件。

5. 發現敏感信息後，將其上傳到攻擊者的服務器。

6. 攻擊者利用多個GitHub帳號提高項目熱度，增加可信度。

技術細節

• 惡意包使用jsjiami.com.v7進行代碼混淆，增加分析難度。

• 包含掃描敏感文件目錄和上傳私鑰內容的功能。

• 攻擊者還使用了另一個惡意包"bs58-encrypt-utils-1.0.3"。

資金流向

通過鏈上分析工具追蹤，發現被盜資金部分流向了某交易平台。

安全建議

1. 對來源不明的GitHub項目保持高度警惕，特別是涉及錢包操作的項目。

2. 在獨立且無敏感數據的環境中運行和調試不熟悉的代碼。

3. 定期檢查項目依賴，關注可疑的包或下載連結。

4. 使用可信的安全工具和服務，保護私鑰和敏感信息。

這起事件再次提醒我們，在去中心化世界中，用戶自身的安全意識和謹慎態度至關重要。開發者也應該更加注重項目依賴的安全性，以防範此類供應鏈攻擊。