Solana用戶遭遇惡意NPM包竊取私鑰事件分析

事件背景

2025年7月2日，一位用戶向安全團隊求助，稱在使用GitHub上的開源項目"solana-pumpfun-bot"後，其加密資產被盜。安全團隊隨即展開調查。

調查過程

安全團隊首先檢查了該GitHub項目，發現其代碼提交時間集中且異常。進一步分析項目依賴，發現一個名爲"crypto-layout-utils"的可疑第三方包。該包已被NPM官方下架，且指定版本未出現在官方歷史記錄中。

通過檢查package-lock.json文件，團隊發現攻擊者將該包的下載連結替換爲一個GitHub release連結。下載並分析這個高度混淆的包後，確認其爲惡意NPM包，能夠掃描用戶電腦文件並上傳敏感信息。

攻擊手法

攻擊者可能控制了多個GitHub帳號，用於分發惡意程序並提高項目可信度。除了"crypto-layout-utils"，還發現了另一個名爲"bs58-encrypt-utils"的惡意包。這些惡意包自2025年6月中旬開始分發。

資金流向

使用鏈上分析工具追蹤發現，部分被盜資金被轉移至某交易平台。

總結與建議

攻擊者通過僞裝合法開源項目，誘導用戶下載並運行含惡意依賴的Node.js項目，導致私鑰泄露和資產被盜。這類攻擊結合了社會工程和技術手段，難以完全防御。

建議開發者和用戶對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作時。如需運行調試，應在獨立且無敏感數據的環境中進行。

相關信息

• 多個涉及惡意行爲的GitHub倉庫已被確認
• 惡意NPM包包括"crypto-layout-utils"和"bs58-encrypt-utils"
• 惡意包數據上傳服務器域名爲"githubshadow.xyz"