# Solana用户遭遇恶意NPM包盗取私钥事件分析2025年7月初,一名Solana用户向安全团队求助,称其使用GitHub上的一个开源项目后,加密资产被盗。经调查发现,这是一起利用恶意NPM包窃取用户私钥的攻击事件。## 事件经过受害者使用了名为solana-pumpfun-bot的GitHub项目,该项目看似正常,拥有较高的Star和Fork数量。然而,项目代码的更新时间集中在三周前,缺乏持续更新的特征。进一步分析发现,项目依赖了一个可疑的第三方包crypto-layout-utils。这个包已从NPM官方下架,且指定版本无历史记录。原来攻击者通过修改package-lock.json文件,将依赖包下载链接指向了自己控制的GitHub仓库。## 恶意包分析安全团队下载并分析了可疑的crypto-layout-utils-1.3.1包,发现其代码经过高度混淆。解混淆后确认这是一个恶意NPM包,它会扫描用户电脑上的敏感文件,如发现钱包或私钥相关内容就上传到攻击者的服务器。## 攻击手法攻击者可能控制了多个GitHub账号,用于分发恶意程序并提高项目热度。他们通过伪装成合法开源项目,诱导用户下载运行含恶意依赖的Node.js代码,从而窃取私钥。此外还发现另一个恶意包bs58-encrypt-utils-1.0.3,推测攻击活动最早可能始于2025年6月中旬。## 资金去向通过链上分析工具追踪发现,被盗资金有部分被转移至某交易平台。## 安全建议1. 对来源不明的GitHub项目保持警惕,特别是涉及钱包操作的项目。2. 必要时在隔离环境中运行和调试未知项目。3. 开发者应仔细审查第三方依赖,警惕可疑的包或下载链接。4. 定期检查并更新项目依赖,及时移除存在安全隐患的组件。5. 使用可信的安全工具定期扫描项目代码,及早发现潜在威胁。本次事件再次表明,攻击者正在不断创新手法,针对开源生态系统发起攻击。开发者和用户都需提高安全意识,共同维护健康的开源环境。
Solana生态再现私钥盗窃 恶意NPM包伪装开源项目作祟
Solana用户遭遇恶意NPM包盗取私钥事件分析
2025年7月初,一名Solana用户向安全团队求助,称其使用GitHub上的一个开源项目后,加密资产被盗。经调查发现,这是一起利用恶意NPM包窃取用户私钥的攻击事件。
事件经过
受害者使用了名为solana-pumpfun-bot的GitHub项目,该项目看似正常,拥有较高的Star和Fork数量。然而,项目代码的更新时间集中在三周前,缺乏持续更新的特征。
进一步分析发现,项目依赖了一个可疑的第三方包crypto-layout-utils。这个包已从NPM官方下架,且指定版本无历史记录。原来攻击者通过修改package-lock.json文件,将依赖包下载链接指向了自己控制的GitHub仓库。
恶意包分析
安全团队下载并分析了可疑的crypto-layout-utils-1.3.1包,发现其代码经过高度混淆。解混淆后确认这是一个恶意NPM包,它会扫描用户电脑上的敏感文件,如发现钱包或私钥相关内容就上传到攻击者的服务器。
攻击手法
攻击者可能控制了多个GitHub账号,用于分发恶意程序并提高项目热度。他们通过伪装成合法开源项目,诱导用户下载运行含恶意依赖的Node.js代码,从而窃取私钥。
此外还发现另一个恶意包bs58-encrypt-utils-1.0.3,推测攻击活动最早可能始于2025年6月中旬。
资金去向
通过链上分析工具追踪发现,被盗资金有部分被转移至某交易平台。
安全建议
对来源不明的GitHub项目保持警惕,特别是涉及钱包操作的项目。
必要时在隔离环境中运行和调试未知项目。
开发者应仔细审查第三方依赖,警惕可疑的包或下载链接。
定期检查并更新项目依赖,及时移除存在安全隐患的组件。
使用可信的安全工具定期扫描项目代码,及早发现潜在威胁。
本次事件再次表明,攻击者正在不断创新手法,针对开源生态系统发起攻击。开发者和用户都需提高安全意识,共同维护健康的开源环境。