Solana用戶資產被盜事件分析

2025年7月2日，一位用戶向某安全團隊求助，稱其在使用GitHub上的開源項目"solana-pumpfun-bot"後遭遇加密資產被盜。安全團隊隨即展開調查。

調查發現，該GitHub項目存在多個異常跡象。首先，項目代碼集中提交於三周前，缺乏持續更新。其次，項目依賴中包含一個可疑的第三方包"crypto-layout-utils"，該包已被NPM官方下架，且指定版本未出現在官方歷史記錄中。

進一步分析發現，攻擊者在package-lock.json文件中替換了"crypto-layout-utils"的下載連結，指向一個GitHub倉庫的release包。該包經過高度混淆，解混淆後確認爲惡意代碼。惡意包會掃描用戶電腦文件，尋找錢包或私鑰相關內容，並上傳至攻擊者控制的服務器。

攻擊者還可能控制了一批GitHub帳號，用於Fork惡意項目並提高Star數量，以增加項目可信度和擴大傳播範圍。部分Fork項目使用了另一個惡意包"bs58-encrypt-utils-1.0.3"。

通過鏈上分析工具追蹤發現，部分被盜資金被轉移至某交易平台。

本次攻擊通過僞裝合法開源項目，誘導用戶下載運行含惡意依賴的Node.js項目，導致私鑰泄露和資產被盜。攻擊手法結合了社會工程和技術手段，具有較強的欺騙性和傳播性。

建議開發者和用戶對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作時。如需調試，應在獨立且無敏感數據的環境中進行。

此事件涉及多個惡意GitHub倉庫和NPM包，攻擊者還利用了自控服務器接收竊取的數據。用戶應謹慎使用開源項目，確保環境安全，以防類似攻擊。