Solana用户遭遇新型钓鱼攻击，恶意NPM包窃取私钥导致资产损失

2025年7月初，一起针对Solana用户的新型钓鱼攻击事件引起了安全专家的关注。一名用户在使用GitHub上一个开源项目后，发现自己的加密资产被盗。经过调查，安全团队揭示了一个精心设计的攻击链条，涉及恶意NPM包和多个GitHub账号的协同操作。

事件始末

受害者于7月1日使用了名为"solana-pumpfun-bot"的GitHub项目，次日发现资产被盗。安全团队随即展开调查，发现该项目存在多个可疑之处：

1. 项目的Star和Fork数量异常高，但代码更新集中在三周前，缺乏持续维护特征。
2. 项目依赖中包含一个名为"crypto-layout-utils"的可疑第三方包。
3. 该可疑包已被NPM官方下架，且指定版本不在官方历史记录中。

攻击手法分析

深入分析发现，攻击者采用了以下手段：

1. 在package-lock.json中替换了可疑包的下载链接，指向GitHub上的一个自制版本。
2. 这个版本的代码经过高度混淆，增加了分析难度。
3. 解混淆后发现，该包会扫描用户电脑文件，寻找钱包或私钥相关内容，并上传到攻击者控制的服务器。
4. 攻击者可能控制了多个GitHub账号，用于Fork恶意项目并刷高热度，扩大传播范围。

资金流向

通过链上分析工具追踪，发现被盗资金部分被转移至某交易平台。

攻击范围扩大

调查还发现多个相关的Fork项目也存在类似恶意行为，部分版本使用了另一个恶意包"bs58-encrypt-utils-1.0.3"。这表明攻击者早在6月中旬就开始分发恶意NPM包和Node.js项目。

安全建议

1. 对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作的项目。
2. 如需调试此类项目，建议在独立且无敏感数据的环境中进行。
3. 开发者应定期检查项目依赖，警惕可疑的第三方包。
4. 用户应使用硬件钱包等更安全的存储方式，避免将私钥明文存储在电脑中。

此次事件再次提醒我们，在去中心化的开源世界中，个人安全意识和基本防护措施至关重要。攻击者正在不断创新手法，我们也需要与时俱进，提高警惕，保护好自己的数字资产。