Solana用戶遭遇私鑰竊取事件：惡意NPM包成爲攻擊利器

2025年7月初，一起針對Solana用戶的私鑰竊取事件引起了安全專家的關注。一名用戶在使用GitHub上的一個開源項目後，發現自己的加密資產遭到盜竊。經過深入調查，安全團隊揭示了一個精心設計的攻擊鏈條，其中涉及僞裝的開源項目、惡意NPM包和多個GitHub帳號的協同操作。

事件的起因是一個名爲solana-pumpfun-bot的GitHub項目。該項目表面上看起來頗受歡迎，擁有較高的Star和Fork數量。然而，仔細觀察發現，項目的代碼提交時間集中在短期內，缺乏持續更新的特徵，這引起了安全專家的警覺。

進一步分析發現，項目依賴了一個名爲crypto-layout-utils的可疑第三方包。該包已被NPM官方下架，且指定的版本號在NPM的歷史記錄中並不存在。攻擊者通過修改package-lock.json文件，將依賴包的下載連結指向了一個由他們控制的GitHub倉庫。

這個惡意的NPM包經過高度混淆，增加了分析難度。解混淆後，安全團隊確認了其惡意性質：該包會掃描用戶電腦文件，搜尋錢包或私鑰相關內容，並將發現的敏感信息上傳至攻擊者控制的服務器。

攻擊者的手法相當狡猾。他們疑似控制了一批GitHub帳號，用於Fork惡意項目並進行分發，同時通過刷高項目的Fork和Star數量來吸引更多用戶。此外，安全團隊還發現了另一個名爲bs58-encrypt-utils的惡意包，推測攻擊活動可能早在2025年6月中旬就已開始。

通過鏈上分析工具，安全團隊追蹤到部分被盜資金流向了某交易平台。

這起事件凸顯了開源社區面臨的安全挑戰。攻擊者通過僞裝合法項目，結合社會工程和技術手段，成功誘導用戶運行攜帶惡意依賴的代碼，導致私鑰泄露和資產損失。

爲防範類似風險，建議開發者和用戶對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作的項目。如需調試，最好在獨立且無敏感數據的環境中進行。同時，開源社區也需要加強對項目的審核和監管，提高用戶的安全意識，共同維護一個更安全的開發生態系統。