Solana用户遭遇资产被盗事件分析

2025年7月2日，一名用户向安全团队求助，称其在使用GitHub上的一个开源项目后，加密资产遭到盗窃。经调查发现，这是一起利用恶意NPM包窃取私钥的攻击事件。

事件背景

受害者使用了名为"solana-pumpfun-bot"的GitHub项目，随后发现资产被盗。该项目虽然星标和分支数量较高，但代码提交时间异常集中，缺乏持续更新。

攻击手法分析

1. 项目引用了可疑的第三方包"crypto-layout-utils"，该包已被NPM官方下架。

2. 攻击者在package-lock.json中替换了依赖包的下载链接，指向一个GitHub仓库。

3. 恶意包经过高度混淆，实现了扫描用户电脑文件的功能，一旦发现钱包或私钥相关内容就上传到攻击者控制的服务器。

4. 攻击者可能控制多个GitHub账号，用于分发恶意程序并提高项目可信度。

5. 部分Fork项目使用了另一个恶意包"bs58-encrypt-utils-1.0.3"。

资金流向

链上分析显示，攻击者将盗取的资金转移至某交易平台。

防范建议

1. 对来源不明的GitHub项目保持高度警惕，尤其是涉及钱包或私钥操作的项目。

2. 在独立且无敏感数据的环境中运行和调试未知项目。

3. 开发者应仔细审查项目依赖，特别注意可疑的第三方包。

4. 定期检查和更新项目依赖，及时移除存在风险的组件。

5. 使用可信的安全工具和服务，如链上资产追踪工具，以便及时发现异常。

此类攻击结合了社会工程和技术手段，难以完全防御。用户和开发者都应提高安全意识，采取多重防护措施，以降低被攻击的风险。