# Solana用戶遭遇惡意NPM包盜取私鑰事件分析2025年7月初,一名Solana用戶向安全團隊求助,稱其使用GitHub上的一個開源項目後,加密資產被盜。經調查發現,這是一起利用惡意NPM包竊取用戶私鑰的攻擊事件。## 事件經過受害者使用了名爲solana-pumpfun-bot的GitHub項目,該項目看似正常,擁有較高的Star和Fork數量。然而,項目代碼的更新時間集中在三周前,缺乏持續更新的特徵。進一步分析發現,項目依賴了一個可疑的第三方包crypto-layout-utils。這個包已從NPM官方下架,且指定版本無歷史記錄。原來攻擊者通過修改package-lock.json文件,將依賴包下載連結指向了自己控制的GitHub倉庫。## 惡意包分析安全團隊下載並分析了可疑的crypto-layout-utils-1.3.1包,發現其代碼經過高度混淆。解混淆後確認這是一個惡意NPM包,它會掃描用戶電腦上的敏感文件,如發現錢包或私鑰相關內容就上傳到攻擊者的服務器。## 攻擊手法攻擊者可能控制了多個GitHub帳號,用於分發惡意程序並提高項目熱度。他們通過僞裝成合法開源項目,誘導用戶下載運行含惡意依賴的Node.js代碼,從而竊取私鑰。此外還發現另一個惡意包bs58-encrypt-utils-1.0.3,推測攻擊活動最早可能始於2025年6月中旬。## 資金去向通過鏈上分析工具追蹤發現,被盜資金有部分被轉移至某交易平台。## 安全建議1. 對來源不明的GitHub項目保持警惕,特別是涉及錢包操作的項目。2. 必要時在隔離環境中運行和調試未知項目。3. 開發者應仔細審查第三方依賴,警惕可疑的包或下載連結。4. 定期檢查並更新項目依賴,及時移除存在安全隱患的組件。5. 使用可信的安全工具定期掃描項目代碼,及早發現潛在威脅。本次事件再次表明,攻擊者正在不斷創新手法,針對開源生態系統發起攻擊。開發者和用戶都需提高安全意識,共同維護健康的開源環境。
Solana生態再現私鑰盜竊 惡意NPM包僞裝開源項目作祟
Solana用戶遭遇惡意NPM包盜取私鑰事件分析
2025年7月初,一名Solana用戶向安全團隊求助,稱其使用GitHub上的一個開源項目後,加密資產被盜。經調查發現,這是一起利用惡意NPM包竊取用戶私鑰的攻擊事件。
事件經過
受害者使用了名爲solana-pumpfun-bot的GitHub項目,該項目看似正常,擁有較高的Star和Fork數量。然而,項目代碼的更新時間集中在三周前,缺乏持續更新的特徵。
進一步分析發現,項目依賴了一個可疑的第三方包crypto-layout-utils。這個包已從NPM官方下架,且指定版本無歷史記錄。原來攻擊者通過修改package-lock.json文件,將依賴包下載連結指向了自己控制的GitHub倉庫。
惡意包分析
安全團隊下載並分析了可疑的crypto-layout-utils-1.3.1包,發現其代碼經過高度混淆。解混淆後確認這是一個惡意NPM包,它會掃描用戶電腦上的敏感文件,如發現錢包或私鑰相關內容就上傳到攻擊者的服務器。
攻擊手法
攻擊者可能控制了多個GitHub帳號,用於分發惡意程序並提高項目熱度。他們通過僞裝成合法開源項目,誘導用戶下載運行含惡意依賴的Node.js代碼,從而竊取私鑰。
此外還發現另一個惡意包bs58-encrypt-utils-1.0.3,推測攻擊活動最早可能始於2025年6月中旬。
資金去向
通過鏈上分析工具追蹤發現,被盜資金有部分被轉移至某交易平台。
安全建議
對來源不明的GitHub項目保持警惕,特別是涉及錢包操作的項目。
必要時在隔離環境中運行和調試未知項目。
開發者應仔細審查第三方依賴,警惕可疑的包或下載連結。
定期檢查並更新項目依賴,及時移除存在安全隱患的組件。
使用可信的安全工具定期掃描項目代碼,及早發現潛在威脅。
本次事件再次表明,攻擊者正在不斷創新手法,針對開源生態系統發起攻擊。開發者和用戶都需提高安全意識,共同維護健康的開源環境。