Solana用户遭遇私钥窃取事件：恶意NPM包成为攻击利器

2025年7月初，一起针对Solana用户的私钥窃取事件引起了安全专家的关注。一名用户在使用GitHub上的一个开源项目后，发现自己的加密资产遭到盗窃。经过深入调查，安全团队揭示了一个精心设计的攻击链条，其中涉及伪装的开源项目、恶意NPM包和多个GitHub账号的协同操作。

事件的起因是一个名为solana-pumpfun-bot的GitHub项目。该项目表面上看起来颇受欢迎，拥有较高的Star和Fork数量。然而，仔细观察发现，项目的代码提交时间集中在短期内，缺乏持续更新的特征，这引起了安全专家的警觉。

进一步分析发现，项目依赖了一个名为crypto-layout-utils的可疑第三方包。该包已被NPM官方下架，且指定的版本号在NPM的历史记录中并不存在。攻击者通过修改package-lock.json文件，将依赖包的下载链接指向了一个由他们控制的GitHub仓库。

这个恶意的NPM包经过高度混淆，增加了分析难度。解混淆后，安全团队确认了其恶意性质：该包会扫描用户电脑文件，搜寻钱包或私钥相关内容，并将发现的敏感信息上传至攻击者控制的服务器。

攻击者的手法相当狡猾。他们疑似控制了一批GitHub账号，用于Fork恶意项目并进行分发，同时通过刷高项目的Fork和Star数量来吸引更多用户。此外，安全团队还发现了另一个名为bs58-encrypt-utils的恶意包，推测攻击活动可能早在2025年6月中旬就已开始。

通过链上分析工具，安全团队追踪到部分被盗资金流向了某交易平台。

这起事件凸显了开源社区面临的安全挑战。攻击者通过伪装合法项目，结合社会工程和技术手段，成功诱导用户运行携带恶意依赖的代码，导致私钥泄露和资产损失。

为防范类似风险，建议开发者和用户对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作的项目。如需调试，最好在独立且无敏感数据的环境中进行。同时，开源社区也需要加强对项目的审核和监管，提高用户的安全意识，共同维护一个更安全的开发生态系统。