Solana用户资产遭盗案例分析：恶意NPM包窃取私钥

2025年7月2日，一位用户向安全团队求助，称其在使用一个GitHub上的开源项目后，加密资产被盗。该项目名为solana-pumpfun-bot，托管于GitHub平台。

安全团队随即展开调查。首先检查了该项目的GitHub仓库，发现其Star和Fork数量较高，但代码提交时间集中在三周前，缺乏持续更新，这一现象引起了安全团队的警觉。

进一步分析发现，该Node.js项目依赖了一个名为crypto-layout-utils的第三方包。然而，这个包已被NPM官方下架，且指定版本未出现在NPM的历史记录中。

通过查看package-lock.json文件，团队发现攻击者将crypto-layout-utils的下载链接替换为一个GitHub release地址。下载并分析这个包后，发现它是经过高度混淆的恶意代码。

解混淆后，安全团队确认这是一个恶意NPM包。它会扫描用户电脑上的文件，一旦发现钱包或私钥相关内容，就会上传到攻击者控制的服务器。

调查还发现，攻击者可能控制了多个GitHub账号，用于Fork恶意项目并分发恶意程序，同时提高项目的Fork和Star数量，吸引更多用户关注。

一些Fork项目中还使用了另一个恶意包bs58-encrypt-utils-1.0.3。这个恶意包自2025年6月12日创建，推测攻击者从那时起就开始分发恶意NPM包和Node.js项目。

通过链上分析工具，团队追踪到一个攻击者地址将盗取的资金转移至了某交易平台。

本次攻击中，攻击者通过伪装合法开源项目，诱导用户下载运行恶意代码。攻击者还刷高项目热度，增加可信度。这种攻击结合了社会工程和技术手段，难以完全防御。

建议开发者和用户对来路不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作时。如需调试，最好在独立且无敏感数据的环境中进行。