Solana用戶資產遭盜，惡意NPM包暗藏私鑰竊取功能

2025年7月初，一名加密貨幣用戶向安全團隊求助，稱其在使用GitHub上一個名爲solana-pumpfun-bot的開源項目後，錢包資產被盜。經過深入調查，安全專家揭示了一起精心策劃的攻擊事件。

調查人員首先檢查了該GitHub項目，發現其代碼提交時間異常集中，缺乏持續更新的特徵。進一步分析項目依賴後，發現一個可疑的第三方包crypto-layout-utils。該包已被NPM官方下架，且指定版本不在官方歷史記錄中。

通過檢查package-lock.json文件，專家發現攻擊者巧妙地將crypto-layout-utils的下載連結替換爲了一個GitHub倉庫中的文件。這個被替換的包經過高度混淆，增加了分析難度。最終確認，這是一個惡意NPM包，能夠掃描用戶計算機上的敏感文件，並將發現的錢包私鑰上傳至攻擊者控制的服務器。

調查還發現，攻擊者可能控制了多個GitHub帳號，用於分發惡意程序並提高項目可信度。他們通過Fork和Star等操作來增加項目熱度，誘導更多用戶下載使用。一些Fork項目中還使用了另一個惡意包bs58-encrypt-utils-1.0.3。

這次攻擊結合了社會工程和技術手段，具有極強的欺騙性。攻擊者僞裝成合法開源項目，利用用戶對GitHub項目的信任，誘使其下載並運行含有惡意依賴的代碼，最終導致私鑰泄露和資產被盜。

安全專家建議，開發者和用戶應對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作時。如需調試此類項目，最好在獨立且不含敏感數據的環境中進行。

此事件凸顯了開源社區面臨的安全挑戰，提醒我們在使用第三方代碼時需格外謹慎，同時也呼籲加強對開源生態系統的安全監管。