恶意Node.js项目利用NPM包窃取Solana用户私钥

2025年7月初，一起针对Solana用户的资产盗窃事件引起了安全专家的关注。一名受害者在使用GitHub上托管的开源项目"solana-pumpfun-bot"后，发现其加密资产被盗。

安全团队展开调查后发现，该项目实际上是一个精心设计的陷阱。虽然项目的Star和Fork数量较高，但其代码提交时间异常集中，缺乏正常项目应有的持续更新特征。

深入分析发现，项目依赖了一个名为"crypto-layout-utils"的可疑第三方包。该包已被NPM官方下架，且指定版本未出现在官方历史记录中。攻击者通过在package-lock.json文件中替换下载链接，绕过了NPM的安全机制。

下载并分析这个高度混淆的恶意包后，安全团队确认它能扫描用户电脑文件，一旦发现钱包或私钥相关内容，就会将其上传至攻击者控制的服务器。

此外，攻击者还可能控制了多个GitHub账号，用于分发恶意程序并提高项目可信度。一些Fork项目中还使用了另一个恶意包"bs58-encrypt-utils"。

通过链上分析，专家发现被盗资金已被转移至某交易平台。

这起事件凸显了开源项目中隐藏恶意代码的危险性。攻击者利用伪装的合法项目和刷高的热度，成功诱导用户运行含有恶意依赖的Node.js项目，导致私钥泄露和资产被盗。

安全专家建议开发者和用户对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作时。如需调试，最好在独立且无敏感数据的环境中进行。

这类攻击结合了社会工程和技术手段，即便在组织内部也难以完全防御。用户在使用开源项目时务必谨慎，以保护自身资产安全。