Solana 用户遭遇私钥窃取事件，恶意 NPM 包成为元凶

2025年7月初，一起针对 Solana 用户的资产盗窃事件引起了安全专家的关注。事件源于受害者使用了一个托管在 GitHub 上名为 solana-pumpfun-bot 的开源项目，随后加密资产被盗。

安全团队展开调查后发现，该项目虽然 Star 和 Fork 数量较高，但代码提交时间异常集中，缺乏持续更新的特征。进一步分析揭示，项目依赖了一个可疑的第三方包 crypto-layout-utils，该包已被 NPM 官方下架。

调查人员在 package-lock.json 文件中发现，攻击者将 crypto-layout-utils 的下载链接替换为了一个 GitHub 仓库中的版本。这个版本经过高度混淆，实际上是一个恶意 NPM 包，能够扫描用户电脑上的敏感文件，并将包含私钥的内容上传到攻击者控制的服务器。

攻击者还可能控制了多个 GitHub 账号，用于 Fork 恶意项目并提高其可信度。除了 crypto-layout-utils，还发现了另一个名为 bs58-encrypt-utils 的恶意包参与了攻击。

通过链上分析工具，安全团队追踪到部分被盗资金流向了某交易平台。

这起事件凸显了开源项目中隐藏的安全风险。攻击者通过伪装合法项目，结合社会工程和技术手段，成功诱导用户运行携带恶意依赖的代码，导致私钥泄露和资产损失。

安全专家建议开发者和用户对来源不明的 GitHub 项目保持高度警惕，特别是涉及钱包或私钥操作时。如需调试，最好在独立且无敏感数据的环境中进行。

本次事件涉及多个恶意 GitHub 仓库和 NPM 包，安全团队已整理相关信息以供参考。随着攻击手法的不断演变，用户在使用开源项目时需格外谨慎，以防范潜在的安全威胁。