Solana用戶遭遇新型NPM包攻擊 私鑰被盜事件分析與防範

robot
摘要生成中

惡意NPM包盜取Solana用戶私鑰事件分析

2025年7月初,一起針對Solana用戶的惡意攻擊事件被曝光。攻擊者通過僞裝成合法開源項目,誘導用戶下載並運行包含惡意代碼的Node.js項目,從而竊取用戶的錢包私鑰和加密資產。

惡意NPM包竊私鑰,Solana用戶資產遭盜

事件經過

7月2日,一名受害者向安全團隊求助,稱在使用GitHub上的開源項目"solana-pumpfun-bot"後,其加密資產被盜。安全團隊隨即展開調查。

調查發現,該GitHub項目存在異常:

  1. 代碼提交時間集中在三周前,缺乏持續更新
  2. 項目依賴了一個可疑的第三方包"crypto-layout-utils"
  3. 該依賴包已被NPM官方下架,且指定版本在NPM歷史記錄中不存在

惡意NPM包竊私鑰,Solana用戶資產遭盜

進一步分析發現,攻擊者在package-lock.json中將"crypto-layout-utils"的下載連結替換爲自己控制的GitHub倉庫地址。

惡意NPM包竊私鑰,Solana用戶資產遭盜

惡意代碼分析

安全團隊下載並分析了可疑的依賴包,發現其中包含高度混淆的惡意代碼。該代碼實現了以下功能:

  1. 掃描用戶電腦文件,搜索錢包或私鑰相關內容
  2. 將發現的敏感信息上傳至攻擊者控制的服務器

惡意NPM包竊私鑰,Solana用戶資產遭盜

惡意NPM包竊私鑰,Solana用戶資產遭盜

攻擊手法

  1. 控制多個GitHub帳號,Fork並分發惡意項目
  2. 刷高項目的Fork和Star數量,提升可信度
  3. 替換NPM包下載連結,繞過官方審核
  4. 使用混淆代碼增加分析難度

惡意NPM包竊私鑰,Solana用戶資產遭盜

惡意NPM包竊私鑰,Solana用戶資產遭盜

惡意NPM包竊私鑰,Solana用戶資產遭盜

資金流向

使用鏈上分析工具追蹤發現,部分被盜資金被轉移至某加密貨幣交易平台。

惡意NPM包竊私鑰,Solana用戶資產遭盜

惡意NPM包竊私鑰,Solana用戶資產遭盜

安全建議

  1. 謹慎對待來源不明的GitHub項目,特別是涉及錢包操作的項目
  2. 在獨立且無敏感數據的環境中運行和調試第三方代碼
  3. 定期檢查系統安全,及時更新軟件和防護措施

本次事件再次強調了在處理加密資產時保持警惕的重要性。攻擊者正不斷創新手法,用戶和開發者都需提高安全意識,採取必要的防護措施。

惡意NPM包竊私鑰,Solana用戶資產遭盜

SOL-2.07%
查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 讚賞
  • 4
  • 分享
留言
0/400
Hodl熊本熊vip
· 4小時前
诶呀诶呀 不做代码审计的node项目 熊熊觉得就像裸泳一样冒险呢
回復0
SerumSurfervip
· 4小時前
哈?npm包也不能轻易信啦
回復0
矿难幸存者vip
· 4小時前
这套路还不如18年EOS资金盘高明 韭菜真是一茬接一茬
回復0
跑路预警Botvip
· 4小時前
又一批小白被打包带走了
回復0
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)