Solana用户资产遭盗，恶意NPM包暗藏私钥窃取功能

2025年7月初，一名加密货币用户向安全团队求助，称其在使用GitHub上一个名为solana-pumpfun-bot的开源项目后，钱包资产被盗。经过深入调查，安全专家揭示了一起精心策划的攻击事件。

调查人员首先检查了该GitHub项目，发现其代码提交时间异常集中，缺乏持续更新的特征。进一步分析项目依赖后，发现一个可疑的第三方包crypto-layout-utils。该包已被NPM官方下架，且指定版本不在官方历史记录中。

通过检查package-lock.json文件，专家发现攻击者巧妙地将crypto-layout-utils的下载链接替换为了一个GitHub仓库中的文件。这个被替换的包经过高度混淆，增加了分析难度。最终确认，这是一个恶意NPM包，能够扫描用户计算机上的敏感文件，并将发现的钱包私钥上传至攻击者控制的服务器。

调查还发现，攻击者可能控制了多个GitHub账号，用于分发恶意程序并提高项目可信度。他们通过Fork和Star等操作来增加项目热度，诱导更多用户下载使用。一些Fork项目中还使用了另一个恶意包bs58-encrypt-utils-1.0.3。

这次攻击结合了社会工程和技术手段，具有极强的欺骗性。攻击者伪装成合法开源项目，利用用户对GitHub项目的信任，诱使其下载并运行含有恶意依赖的代码，最终导致私钥泄露和资产被盗。

安全专家建议，开发者和用户应对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作时。如需调试此类项目，最好在独立且不含敏感数据的环境中进行。

此事件凸显了开源社区面临的安全挑战，提醒我们在使用第三方代码时需格外谨慎，同时也呼吁加强对开源生态系统的安全监管。