恶意NPM包盗取Solana用户私钥事件分析

2025年7月初，一起针对Solana用户的恶意攻击事件被曝光。攻击者通过伪装成合法开源项目，诱导用户下载并运行包含恶意代码的Node.js项目，从而窃取用户的钱包私钥和加密资产。

事件经过

7月2日，一名受害者向安全团队求助，称在使用GitHub上的开源项目"solana-pumpfun-bot"后，其加密资产被盗。安全团队随即展开调查。

调查发现，该GitHub项目存在异常:

1. 代码提交时间集中在三周前，缺乏持续更新
2. 项目依赖了一个可疑的第三方包"crypto-layout-utils"
3. 该依赖包已被NPM官方下架，且指定版本在NPM历史记录中不存在

进一步分析发现，攻击者在package-lock.json中将"crypto-layout-utils"的下载链接替换为自己控制的GitHub仓库地址。

恶意代码分析

安全团队下载并分析了可疑的依赖包，发现其中包含高度混淆的恶意代码。该代码实现了以下功能:

1. 扫描用户电脑文件，搜索钱包或私钥相关内容
2. 将发现的敏感信息上传至攻击者控制的服务器

攻击手法

1. 控制多个GitHub账号，Fork并分发恶意项目
2. 刷高项目的Fork和Star数量，提升可信度
3. 替换NPM包下载链接，绕过官方审核
4. 使用混淆代码增加分析难度

资金流向

使用链上分析工具追踪发现，部分被盗资金被转移至某加密货币交易平台。

安全建议

1. 谨慎对待来源不明的GitHub项目，特别是涉及钱包操作的项目
2. 在独立且无敏感数据的环境中运行和调试第三方代码
3. 定期检查系统安全，及时更新软件和防护措施

本次事件再次强调了在处理加密资产时保持警惕的重要性。攻击者正不断创新手法，用户和开发者都需提高安全意识，采取必要的防护措施。