Solana用户遭遇恶意NPM包窃取私钥事件分析

事件背景

2025年7月2日，一位用户向安全团队求助，称在使用GitHub上的开源项目"solana-pumpfun-bot"后，其加密资产被盗。安全团队随即展开调查。

调查过程

安全团队首先检查了该GitHub项目，发现其代码提交时间集中且异常。进一步分析项目依赖，发现一个名为"crypto-layout-utils"的可疑第三方包。该包已被NPM官方下架，且指定版本未出现在官方历史记录中。

通过检查package-lock.json文件，团队发现攻击者将该包的下载链接替换为一个GitHub release链接。下载并分析这个高度混淆的包后，确认其为恶意NPM包，能够扫描用户电脑文件并上传敏感信息。

攻击手法

攻击者可能控制了多个GitHub账号，用于分发恶意程序并提高项目可信度。除了"crypto-layout-utils"，还发现了另一个名为"bs58-encrypt-utils"的恶意包。这些恶意包自2025年6月中旬开始分发。

资金流向

使用链上分析工具追踪发现，部分被盗资金被转移至某交易平台。

总结与建议

攻击者通过伪装合法开源项目，诱导用户下载并运行含恶意依赖的Node.js项目，导致私钥泄露和资产被盗。这类攻击结合了社会工程和技术手段，难以完全防御。

建议开发者和用户对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作时。如需运行调试，应在独立且无敏感数据的环境中进行。

相关信息

• 多个涉及恶意行为的GitHub仓库已被确认
• 恶意NPM包包括"crypto-layout-utils"和"bs58-encrypt-utils"
• 恶意包数据上传服务器域名为"githubshadow.xyz"