惡意Node.js項目利用NPM包竊取Solana用戶私鑰

2025年7月初，一起針對Solana用戶的資產盜竊事件引起了安全專家的關注。一名受害者在使用GitHub上托管的開源項目"solana-pumpfun-bot"後，發現其加密資產被盜。

安全團隊展開調查後發現，該項目實際上是一個精心設計的陷阱。雖然項目的Star和Fork數量較高，但其代碼提交時間異常集中，缺乏正常項目應有的持續更新特徵。

深入分析發現，項目依賴了一個名爲"crypto-layout-utils"的可疑第三方包。該包已被NPM官方下架，且指定版本未出現在官方歷史記錄中。攻擊者通過在package-lock.json文件中替換下載連結，繞過了NPM的安全機制。

下載並分析這個高度混淆的惡意包後，安全團隊確認它能掃描用戶電腦文件，一旦發現錢包或私鑰相關內容，就會將其上傳至攻擊者控制的服務器。

此外，攻擊者還可能控制了多個GitHub帳號，用於分發惡意程序並提高項目可信度。一些Fork項目中還使用了另一個惡意包"bs58-encrypt-utils"。

通過鏈上分析，專家發現被盜資金已被轉移至某交易平台。

這起事件凸顯了開源項目中隱藏惡意代碼的危險性。攻擊者利用僞裝的合法項目和刷高的熱度，成功誘導用戶運行含有惡意依賴的Node.js項目，導致私鑰泄露和資產被盜。

安全專家建議開發者和用戶對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作時。如需調試，最好在獨立且無敏感數據的環境中進行。

這類攻擊結合了社會工程和技術手段，即便在組織內部也難以完全防御。用戶在使用開源項目時務必謹慎，以保護自身資產安全。