Solana生態再遭攻擊:惡意NPM包竊取用戶私鑰導致資產損失

2025年7月初，Solana生態再次出現安全事件。一名用戶在使用托管於GitHub的開源項目後，加密資產遭到盜竊。經過安全團隊調查,這起事件源於一個名爲"solana-pumpfun-bot"的惡意Node.js項目。

該項目通過引入惡意NPM包來竊取用戶私鑰信息。攻擊者精心設計了整個攻擊鏈條,包括:

1. 在GitHub上僞裝成合法開源項目
2. 利用多個帳號提高項目熱度,增加可信度
3. 在項目依賴中植入惡意NPM包
4. 替換NPM包下載連結繞過官方審核
5. 對惡意代碼進行高度混淆,增加分析難度

惡意NPM包主要實現了兩個功能:

1. 掃描用戶電腦文件,搜索錢包和私鑰相關內容
2. 將發現的敏感信息上傳至攻擊者控制的服務器

據分析,攻擊者至少從6月中旬就開始分發惡意NPM包和Node.js項目。在早期使用的惡意包被NPM下架後,攻擊者轉而採用替換下載連結的方式繼續攻擊。

這類攻擊結合了社會工程和技術手段,即便在組織內部也難以完全防御。建議開發者和用戶提高警惕,謹慎對待來源不明的GitHub項目,特別是涉及錢包操作的項目。如需調試,最好在隔離環境中進行。

此次事件再次警示,開源生態系統雖然帶來便利,但也存在潛在風險。用戶在使用開源項目時需保持謹慎,關注項目的更新情況和社區反饋,並採取必要的安全防護措施。同時,開源平台也應加強對惡意項目的監管和審核,構建更安全的生態環境。