Solana用戶資產遭盜案例分析：惡意NPM包竊取私鑰

2025年7月2日，一位用戶向安全團隊求助，稱其在使用一個GitHub上的開源項目後，加密資產被盜。該項目名爲solana-pumpfun-bot，托管於GitHub平台。

安全團隊隨即展開調查。首先檢查了該項目的GitHub倉庫，發現其Star和Fork數量較高，但代碼提交時間集中在三周前，缺乏持續更新，這一現象引起了安全團隊的警覺。

進一步分析發現，該Node.js項目依賴了一個名爲crypto-layout-utils的第三方包。然而，這個包已被NPM官方下架，且指定版本未出現在NPM的歷史記錄中。

通過查看package-lock.json文件，團隊發現攻擊者將crypto-layout-utils的下載連結替換爲一個GitHub release地址。下載並分析這個包後，發現它是經過高度混淆的惡意代碼。

解混淆後，安全團隊確認這是一個惡意NPM包。它會掃描用戶電腦上的文件，一旦發現錢包或私鑰相關內容，就會上傳到攻擊者控制的服務器。

調查還發現，攻擊者可能控制了多個GitHub帳號，用於Fork惡意項目並分發惡意程序，同時提高項目的Fork和Star數量，吸引更多用戶關注。

一些Fork項目中還使用了另一個惡意包bs58-encrypt-utils-1.0.3。這個惡意包自2025年6月12日創建，推測攻擊者從那時起就開始分發惡意NPM包和Node.js項目。

通過鏈上分析工具，團隊追蹤到一個攻擊者地址將盜取的資金轉移至了某交易平台。

本次攻擊中，攻擊者通過僞裝合法開源項目，誘導用戶下載運行惡意代碼。攻擊者還刷高項目熱度，增加可信度。這種攻擊結合了社會工程和技術手段，難以完全防御。

建議開發者和用戶對來路不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作時。如需調試，最好在獨立且無敏感數據的環境中進行。