# Solana 用戶遭遇私鑰竊取事件,惡意 NPM 包成爲元兇2025年7月初,一起針對 Solana 用戶的資產盜竊事件引起了安全專家的關注。事件源於受害者使用了一個托管在 GitHub 上名爲 solana-pumpfun-bot 的開源項目,隨後加密資產被盜。安全團隊展開調查後發現,該項目雖然 Star 和 Fork 數量較高,但代碼提交時間異常集中,缺乏持續更新的特徵。進一步分析揭示,項目依賴了一個可疑的第三方包 crypto-layout-utils,該包已被 NPM 官方下架。調查人員在 package-lock.json 文件中發現,攻擊者將 crypto-layout-utils 的下載連結替換爲了一個 GitHub 倉庫中的版本。這個版本經過高度混淆,實際上是一個惡意 NPM 包,能夠掃描用戶電腦上的敏感文件,並將包含私鑰的內容上傳到攻擊者控制的服務器。攻擊者還可能控制了多個 GitHub 帳號,用於 Fork 惡意項目並提高其可信度。除了 crypto-layout-utils,還發現了另一個名爲 bs58-encrypt-utils 的惡意包參與了攻擊。通過鏈上分析工具,安全團隊追蹤到部分被盜資金流向了某交易平台。這起事件凸顯了開源項目中隱藏的安全風險。攻擊者通過僞裝合法項目,結合社會工程和技術手段,成功誘導用戶運行攜帶惡意依賴的代碼,導致私鑰泄露和資產損失。安全專家建議開發者和用戶對來源不明的 GitHub 項目保持高度警惕,特別是涉及錢包或私鑰操作時。如需調試,最好在獨立且無敏感數據的環境中進行。本次事件涉及多個惡意 GitHub 倉庫和 NPM 包,安全團隊已整理相關信息以供參考。隨着攻擊手法的不斷演變,用戶在使用開源項目時需格外謹慎,以防範潛在的安全威脅。
Solana用戶遭遇私鑰盜竊 惡意NPM包成幕後黑手
Solana 用戶遭遇私鑰竊取事件,惡意 NPM 包成爲元兇
2025年7月初,一起針對 Solana 用戶的資產盜竊事件引起了安全專家的關注。事件源於受害者使用了一個托管在 GitHub 上名爲 solana-pumpfun-bot 的開源項目,隨後加密資產被盜。
安全團隊展開調查後發現,該項目雖然 Star 和 Fork 數量較高,但代碼提交時間異常集中,缺乏持續更新的特徵。進一步分析揭示,項目依賴了一個可疑的第三方包 crypto-layout-utils,該包已被 NPM 官方下架。
調查人員在 package-lock.json 文件中發現,攻擊者將 crypto-layout-utils 的下載連結替換爲了一個 GitHub 倉庫中的版本。這個版本經過高度混淆,實際上是一個惡意 NPM 包,能夠掃描用戶電腦上的敏感文件,並將包含私鑰的內容上傳到攻擊者控制的服務器。
攻擊者還可能控制了多個 GitHub 帳號,用於 Fork 惡意項目並提高其可信度。除了 crypto-layout-utils,還發現了另一個名爲 bs58-encrypt-utils 的惡意包參與了攻擊。
通過鏈上分析工具,安全團隊追蹤到部分被盜資金流向了某交易平台。
這起事件凸顯了開源項目中隱藏的安全風險。攻擊者通過僞裝合法項目,結合社會工程和技術手段,成功誘導用戶運行攜帶惡意依賴的代碼,導致私鑰泄露和資產損失。
安全專家建議開發者和用戶對來源不明的 GitHub 項目保持高度警惕,特別是涉及錢包或私鑰操作時。如需調試,最好在獨立且無敏感數據的環境中進行。
本次事件涉及多個惡意 GitHub 倉庫和 NPM 包,安全團隊已整理相關信息以供參考。隨着攻擊手法的不斷演變,用戶在使用開源項目時需格外謹慎,以防範潛在的安全威脅。