Solana用戶遭遇惡意NPM包攻擊，私鑰被竊取導致資產損失

2025年7月初，一起針對Solana用戶的惡意攻擊事件被揭露。攻擊者通過在GitHub上發布帶有惡意NPM包的開源項目，成功竊取了用戶的錢包私鑰，導致加密資產被盜。

事件起因是一名用戶在使用名爲"solana-pumpfun-bot"的GitHub項目後發現資產被盜。安全團隊隨即展開調查，發現該項目存在多個可疑之處：

1. 項目的更新記錄異常，所有代碼提交集中在短期內完成。
2. 項目依賴中包含一個名爲"crypto-layout-utils"的可疑第三方包。
3. 這個可疑包已被NPM官方下架，且版本號在官方記錄中不存在。

進一步分析發現，攻擊者通過修改package-lock.json文件，將可疑包的下載連結指向了一個GitHub倉庫中的壓縮包。這個壓縮包內含經過高度混淆的惡意代碼，主要功能是掃描用戶電腦上的敏感文件，尋找錢包私鑰相關信息，並將其上傳到攻擊者控制的服務器。

攻擊者還採用了一系列手段來提高項目的可信度：

1. 控制多個GitHub帳號來Fork和Star項目，artificially提高項目熱度。
2. 使用多個類似的惡意包，如"bs58-encrypt-utils"。
3. 在NPM官方下架可疑包後，改用替換下載連結的方式繼續傳播。

這種攻擊方式結合了社會工程和技術手段，具有很強的欺騙性和危害性。爲了防範類似攻擊，建議開發者和用戶：

1. 對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作的項目。
2. 在獨立且無敏感數據的環境中運行和調試不熟悉的代碼。
3. 定期檢查項目依賴，確保使用官方認可的版本。
4. 提高安全意識，不輕易相信高Star和Fork數量的項目。

此次事件再次提醒我們，在去中心化的開源世界中，個人安全意識和基本的安全實踐至關重要。攻擊者不斷更新手法，用戶也需要與時俱進，保持警惕，以確保資產安全。