# Solana 用户遭遇私钥窃取事件,恶意 NPM 包成为元凶2025年7月初,一起针对 Solana 用户的资产盗窃事件引起了安全专家的关注。事件源于受害者使用了一个托管在 GitHub 上名为 solana-pumpfun-bot 的开源项目,随后加密资产被盗。安全团队展开调查后发现,该项目虽然 Star 和 Fork 数量较高,但代码提交时间异常集中,缺乏持续更新的特征。进一步分析揭示,项目依赖了一个可疑的第三方包 crypto-layout-utils,该包已被 NPM 官方下架。调查人员在 package-lock.json 文件中发现,攻击者将 crypto-layout-utils 的下载链接替换为了一个 GitHub 仓库中的版本。这个版本经过高度混淆,实际上是一个恶意 NPM 包,能够扫描用户电脑上的敏感文件,并将包含私钥的内容上传到攻击者控制的服务器。攻击者还可能控制了多个 GitHub 账号,用于 Fork 恶意项目并提高其可信度。除了 crypto-layout-utils,还发现了另一个名为 bs58-encrypt-utils 的恶意包参与了攻击。通过链上分析工具,安全团队追踪到部分被盗资金流向了某交易平台。这起事件凸显了开源项目中隐藏的安全风险。攻击者通过伪装合法项目,结合社会工程和技术手段,成功诱导用户运行携带恶意依赖的代码,导致私钥泄露和资产损失。安全专家建议开发者和用户对来源不明的 GitHub 项目保持高度警惕,特别是涉及钱包或私钥操作时。如需调试,最好在独立且无敏感数据的环境中进行。本次事件涉及多个恶意 GitHub 仓库和 NPM 包,安全团队已整理相关信息以供参考。随着攻击手法的不断演变,用户在使用开源项目时需格外谨慎,以防范潜在的安全威胁。
Solana用户遭遇私钥盗窃 恶意NPM包成幕后黑手
Solana 用户遭遇私钥窃取事件,恶意 NPM 包成为元凶
2025年7月初,一起针对 Solana 用户的资产盗窃事件引起了安全专家的关注。事件源于受害者使用了一个托管在 GitHub 上名为 solana-pumpfun-bot 的开源项目,随后加密资产被盗。
安全团队展开调查后发现,该项目虽然 Star 和 Fork 数量较高,但代码提交时间异常集中,缺乏持续更新的特征。进一步分析揭示,项目依赖了一个可疑的第三方包 crypto-layout-utils,该包已被 NPM 官方下架。
调查人员在 package-lock.json 文件中发现,攻击者将 crypto-layout-utils 的下载链接替换为了一个 GitHub 仓库中的版本。这个版本经过高度混淆,实际上是一个恶意 NPM 包,能够扫描用户电脑上的敏感文件,并将包含私钥的内容上传到攻击者控制的服务器。
攻击者还可能控制了多个 GitHub 账号,用于 Fork 恶意项目并提高其可信度。除了 crypto-layout-utils,还发现了另一个名为 bs58-encrypt-utils 的恶意包参与了攻击。
通过链上分析工具,安全团队追踪到部分被盗资金流向了某交易平台。
这起事件凸显了开源项目中隐藏的安全风险。攻击者通过伪装合法项目,结合社会工程和技术手段,成功诱导用户运行携带恶意依赖的代码,导致私钥泄露和资产损失。
安全专家建议开发者和用户对来源不明的 GitHub 项目保持高度警惕,特别是涉及钱包或私钥操作时。如需调试,最好在独立且无敏感数据的环境中进行。
本次事件涉及多个恶意 GitHub 仓库和 NPM 包,安全团队已整理相关信息以供参考。随着攻击手法的不断演变,用户在使用开源项目时需格外谨慎,以防范潜在的安全威胁。