Solana生態遭遇惡意NPM包攻擊，用戶私鑰被盜

2025年7月初，Solana生態圈爆發了一起嚴重的安全事件。一名用戶在使用托管於GitHub的開源項目後，發現其加密資產遭到盜取。經安全團隊調查，這起事件源於一個精心僞裝的惡意NPM包。

調查發現，這個名爲"solana-pumpfun-bot"的項目看似正常，擁有較高的Star和Fork數量。然而，其代碼提交時間異常集中，缺乏持續更新的特徵。該項目依賴了一個可疑的第三方包"crypto-layout-utils"，而這個包已從NPM官方下架。

進一步分析揭示，攻擊者通過替換package-lock.json文件中的下載連結，將用戶引導至一個托管在GitHub上的惡意版本。這個版本經過高度混淆，其核心功能是掃描用戶電腦上的敏感文件，特別是與加密錢包和私鑰相關的內容，並將這些信息上傳至攻擊者控制的服務器。

攻擊者還採用了多帳號協作的策略，通過大量Fork和Star操作提高項目可信度，擴大受害範圍。除了"crypto-layout-utils"，還發現了另一個名爲"bs58-encrypt-utils"的惡意包參與其中。

這次攻擊手法結合了社會工程和技術欺騙，具有極強的隱蔽性和欺騙性。它不僅針對個人用戶，還可能對組織內部構成威脅。安全專家建議，開發者和用戶在使用來源不明的GitHub項目時務必保持高度警惕，尤其是涉及敏感操作的場景。如需調試，最好在隔離的安全環境中進行。

此事件再次凸顯了開源社區面臨的安全挑戰。它提醒我們，在享受開源便利的同時，也要時刻警惕潛在的安全風險。對於Solana生態系統而言，這無疑是一個警鍾，呼籲各方加強安全意識，完善防護措施。