Solana用戶資產遭盜：惡意NPM包竊取私鑰事件分析

2025年7月2日，一位用戶向安全團隊求助，希望分析其加密資產被盜的原因。經調查，事件源於該用戶使用了一個托管在GitHub上的開源項目solana-pumpfun-bot。

安全團隊隨即展開調查。訪問項目GitHub倉庫後發現，該項目雖然Star和Fork數量較高，但代碼提交時間異常集中，缺乏持續更新的特徵。

進一步分析發現，該Node.js項目引用了一個名爲crypto-layout-utils的可疑第三方包。這個依賴包已被官方下架，且package.json中指定的版本在NPM官方歷史記錄中未出現。

在package-lock.json文件中，研究人員發現攻擊者將crypto-layout-utils的下載連結替換爲了一個GitHub倉庫的release下載地址。下載並分析這個高度混淆的依賴包後，確認這是一個惡意NPM包。

該惡意包會掃描用戶電腦文件，如發現錢包或私鑰相關內容就上傳到攻擊者控制的服務器。攻擊者還可能控制了多個GitHub帳號，用於分發惡意程序並提高項目可信度。

除crypto-layout-utils外，還發現另一個名爲bs58-encrypt-utils的惡意包。這些惡意包自2025年6月中旬就開始分發，後來改用替換NPM包下載連結的方式繼續傳播。

通過鏈上分析工具追蹤發現，部分被盜資金已被轉移至某交易平台。

此次攻擊通過僞裝合法開源項目，誘導用戶下載運行含惡意依賴的代碼，從而竊取錢包私鑰。攻擊者利用多個GitHub帳號協同操作，擴大傳播範圍並提升可信度，具有很強的欺騙性。

建議開發者和用戶對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作時。如需調試，最好在獨立且無敏感數據的環境中進行。