Solana用户遭遇资产盗窃：恶意NPM包窃取私钥

近日，一起针对Solana用户的资产盗窃事件引起了安全专家的关注。事件源于一个托管在GitHub上的开源项目，该项目内含恶意NPM包，能够窃取用户的私钥信息。

事件始于2025年7月2日，一位用户在使用名为"solana-pumpfun-bot"的GitHub项目后，发现自己的加密资产被盗。安全团队随即展开调查，发现该项目存在多个可疑之处。

首先，项目的代码更新集中在三周前，缺乏持续维护的特征。其次，项目依赖了一个名为"crypto-layout-utils"的第三方包，该包已被NPM官方下架，且指定版本未出现在NPM官方历史记录中。

进一步调查发现，攻击者在package-lock.json文件中替换了crypto-layout-utils的下载链接，指向了一个GitHub仓库中的文件。这个文件经过高度混淆，增加了分析难度。

解混淆后，安全团队确认这是一个恶意NPM包。它能够扫描用户电脑上的文件，寻找钱包或私钥相关内容，并将发现的敏感信息上传到攻击者控制的服务器。

攻击者似乎控制了多个GitHub账号，用于分发恶意程序并提高项目的Star和Fork数量，以此吸引更多用户。除了crypto-layout-utils，另一个名为bs58-encrypt-utils的恶意包也被用于类似攻击。

通过链上分析工具，安全团队追踪到部分被盗资金流向了某交易平台。

这次攻击事件揭示了开源项目中潜藏的安全风险。攻击者通过伪装合法项目，诱导用户下载并运行含有恶意代码的程序。多个GitHub账号的协同操作增加了攻击的可信度和传播范围。

为防范类似攻击，建议开发者和用户对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作的项目。如需调试，最好在独立且无敏感数据的环境中进行。

此事件涉及多个恶意GitHub仓库和NPM包。安全团队已整理出相关信息，包括多个可疑的GitHub项目链接、恶意NPM包名称及其下载链接，以及攻击者使用的数据上传服务器地址。这些信息对于识别和防范类似攻击至关重要。