Solana用户资产被盗事件分析：恶意NPM包窃取私钥

2025年7月初，一名用户向安全团队求助，称在使用GitHub上一个名为solana-pumpfun-bot的开源项目后，其加密资产遭到盗窃。经过调查，这起事件揭示了一个精心策划的攻击链条，涉及恶意NPM包、伪装的GitHub项目和社会工程学手段。

事件调查

安全团队访问了涉事GitHub仓库，发现该项目虽然有较高的Star和Fork数量，但代码更新异常集中，缺乏持续维护的特征。进一步分析显示，项目依赖了一个可疑的第三方包crypto-layout-utils，该包已被NPM官方下架。

通过检查package-lock.json文件，研究人员发现攻击者将crypto-layout-utils的下载链接替换为了一个GitHub release地址。下载并分析这个高度混淆的依赖包后，确认其为恶意代码，具有扫描用户计算机文件和上传敏感信息的功能。

攻击手法

攻击者疑似控制了多个GitHub账号，用于分发恶意项目并提高其可信度。他们通过Fork和Star操作提升项目热度，吸引更多用户关注和使用。除了crypto-layout-utils，还发现了另一个名为bs58-encrypt-utils的恶意包参与攻击。

使用链上分析工具追踪发现，被盗资金最终流向了某交易平台。

总结与建议

这次攻击巧妙地结合了技术手段和社会工程学策略。攻击者通过伪装合法开源项目，诱导用户下载并运行含有恶意依赖的Node.js程序，从而窃取钱包私钥和资产。

为防范类似攻击，建议开发者和用户：

1. 对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作的项目。
2. 在独立且无敏感数据的环境中运行和调试不熟悉的代码。
3. 定期检查项目依赖，确保使用官方认证的包。
4. 关注项目的更新历史和社区反馈，谨防突然爆红但缺乏长期维护的项目。

此事件再次提醒我们，在开放的开源生态系统中，安全意识和谨慎态度至关重要。