Solana用户遭受恶意NPM包攻击，私钥被盗

2025年7月初，一起针对Solana用户的恶意攻击事件引起了安全专家的关注。一名用户在使用GitHub上的一个开源项目后，发现自己的加密资产被盗。经过深入调查，安全团队揭示了这起事件的来龙去脉。

事件概要

受害者使用了名为"solana-pumpfun-bot"的GitHub项目，随后发现钱包资产被盗。调查显示，该项目包含恶意NPM包，能够扫描用户电脑并窃取私钥信息。

攻击手法分析

1. 攻击者在GitHub上伪造了一个看似正常的开源项目。

2. 项目依赖了一个名为"crypto-layout-utils"的可疑NPM包。

3. 攻击者替换了该包的下载链接，指向自己控制的恶意版本。

4. 恶意包会扫描用户电脑，寻找钱包和私钥相关文件。

5. 发现敏感信息后，将其上传到攻击者的服务器。

6. 攻击者利用多个GitHub账号提高项目热度，增加可信度。

技术细节

• 恶意包使用jsjiami.com.v7进行代码混淆，增加分析难度。

• 包含扫描敏感文件目录和上传私钥内容的功能。

• 攻击者还使用了另一个恶意包"bs58-encrypt-utils-1.0.3"。

资金流向

通过链上分析工具追踪，发现被盗资金部分流向了某交易平台。

安全建议

1. 对来源不明的GitHub项目保持高度警惕，特别是涉及钱包操作的项目。

2. 在独立且无敏感数据的环境中运行和调试不熟悉的代码。

3. 定期检查项目依赖，关注可疑的包或下载链接。

4. 使用可信的安全工具和服务，保护私钥和敏感信息。

这起事件再次提醒我们，在去中心化世界中，用户自身的安全意识和谨慎态度至关重要。开发者也应该更加注重项目依赖的安全性，以防范此类供应链攻击。