惡意NPM包盜取Solana用戶私鑰事件分析

2025年7月初，一起針對Solana用戶的惡意攻擊事件被曝光。攻擊者通過僞裝成合法開源項目，誘導用戶下載並運行包含惡意代碼的Node.js項目，從而竊取用戶的錢包私鑰和加密資產。

事件經過

7月2日，一名受害者向安全團隊求助，稱在使用GitHub上的開源項目"solana-pumpfun-bot"後，其加密資產被盜。安全團隊隨即展開調查。

調查發現，該GitHub項目存在異常:

1. 代碼提交時間集中在三周前，缺乏持續更新
2. 項目依賴了一個可疑的第三方包"crypto-layout-utils"
3. 該依賴包已被NPM官方下架，且指定版本在NPM歷史記錄中不存在

進一步分析發現，攻擊者在package-lock.json中將"crypto-layout-utils"的下載連結替換爲自己控制的GitHub倉庫地址。

惡意代碼分析

安全團隊下載並分析了可疑的依賴包，發現其中包含高度混淆的惡意代碼。該代碼實現了以下功能:

1. 掃描用戶電腦文件，搜索錢包或私鑰相關內容
2. 將發現的敏感信息上傳至攻擊者控制的服務器

攻擊手法

1. 控制多個GitHub帳號，Fork並分發惡意項目
2. 刷高項目的Fork和Star數量，提升可信度
3. 替換NPM包下載連結，繞過官方審核
4. 使用混淆代碼增加分析難度

資金流向

使用鏈上分析工具追蹤發現，部分被盜資金被轉移至某加密貨幣交易平台。

安全建議

1. 謹慎對待來源不明的GitHub項目，特別是涉及錢包操作的項目
2. 在獨立且無敏感數據的環境中運行和調試第三方代碼
3. 定期檢查系統安全，及時更新軟件和防護措施

本次事件再次強調了在處理加密資產時保持警惕的重要性。攻擊者正不斷創新手法，用戶和開發者都需提高安全意識，採取必要的防護措施。