Solana 用戶遭遇私鑰竊取事件，惡意 NPM 包成爲元兇

2025年7月初，一起針對 Solana 用戶的資產盜竊事件引起了安全專家的關注。事件源於受害者使用了一個托管在 GitHub 上名爲 solana-pumpfun-bot 的開源項目，隨後加密資產被盜。

安全團隊展開調查後發現，該項目雖然 Star 和 Fork 數量較高，但代碼提交時間異常集中，缺乏持續更新的特徵。進一步分析揭示，項目依賴了一個可疑的第三方包 crypto-layout-utils，該包已被 NPM 官方下架。

調查人員在 package-lock.json 文件中發現，攻擊者將 crypto-layout-utils 的下載連結替換爲了一個 GitHub 倉庫中的版本。這個版本經過高度混淆，實際上是一個惡意 NPM 包，能夠掃描用戶電腦上的敏感文件，並將包含私鑰的內容上傳到攻擊者控制的服務器。

攻擊者還可能控制了多個 GitHub 帳號，用於 Fork 惡意項目並提高其可信度。除了 crypto-layout-utils，還發現了另一個名爲 bs58-encrypt-utils 的惡意包參與了攻擊。

通過鏈上分析工具，安全團隊追蹤到部分被盜資金流向了某交易平台。

這起事件凸顯了開源項目中隱藏的安全風險。攻擊者通過僞裝合法項目，結合社會工程和技術手段，成功誘導用戶運行攜帶惡意依賴的代碼，導致私鑰泄露和資產損失。

安全專家建議開發者和用戶對來源不明的 GitHub 項目保持高度警惕，特別是涉及錢包或私鑰操作時。如需調試，最好在獨立且無敏感數據的環境中進行。

本次事件涉及多個惡意 GitHub 倉庫和 NPM 包，安全團隊已整理相關信息以供參考。隨着攻擊手法的不斷演變，用戶在使用開源項目時需格外謹慎，以防範潛在的安全威脅。