Solana生态遭遇恶意NPM包攻击，用户私钥被盗

2025年7月初，Solana生态圈爆发了一起严重的安全事件。一名用户在使用托管于GitHub的开源项目后，发现其加密资产遭到盗取。经安全团队调查，这起事件源于一个精心伪装的恶意NPM包。

调查发现，这个名为"solana-pumpfun-bot"的项目看似正常，拥有较高的Star和Fork数量。然而，其代码提交时间异常集中，缺乏持续更新的特征。该项目依赖了一个可疑的第三方包"crypto-layout-utils"，而这个包已从NPM官方下架。

进一步分析揭示，攻击者通过替换package-lock.json文件中的下载链接，将用户引导至一个托管在GitHub上的恶意版本。这个版本经过高度混淆，其核心功能是扫描用户电脑上的敏感文件，特别是与加密钱包和私钥相关的内容，并将这些信息上传至攻击者控制的服务器。

攻击者还采用了多账号协作的策略，通过大量Fork和Star操作提高项目可信度，扩大受害范围。除了"crypto-layout-utils"，还发现了另一个名为"bs58-encrypt-utils"的恶意包参与其中。

这次攻击手法结合了社会工程和技术欺骗，具有极强的隐蔽性和欺骗性。它不仅针对个人用户，还可能对组织内部构成威胁。安全专家建议，开发者和用户在使用来源不明的GitHub项目时务必保持高度警惕，尤其是涉及敏感操作的场景。如需调试，最好在隔离的安全环境中进行。

此事件再次凸显了开源社区面临的安全挑战。它提醒我们，在享受开源便利的同时，也要时刻警惕潜在的安全风险。对于Solana生态系统而言，这无疑是一个警钟，呼吁各方加强安全意识，完善防护措施。