Solana生态再遭攻击:恶意NPM包窃取用户私钥导致资产损失

2025年7月初，Solana生态再次出现安全事件。一名用户在使用托管于GitHub的开源项目后，加密资产遭到盗窃。经过安全团队调查,这起事件源于一个名为"solana-pumpfun-bot"的恶意Node.js项目。

该项目通过引入恶意NPM包来窃取用户私钥信息。攻击者精心设计了整个攻击链条,包括:

1. 在GitHub上伪装成合法开源项目
2. 利用多个账号提高项目热度,增加可信度
3. 在项目依赖中植入恶意NPM包
4. 替换NPM包下载链接绕过官方审核
5. 对恶意代码进行高度混淆,增加分析难度

恶意NPM包主要实现了两个功能:

1. 扫描用户电脑文件,搜索钱包和私钥相关内容
2. 将发现的敏感信息上传至攻击者控制的服务器

据分析,攻击者至少从6月中旬就开始分发恶意NPM包和Node.js项目。在早期使用的恶意包被NPM下架后,攻击者转而采用替换下载链接的方式继续攻击。

这类攻击结合了社会工程和技术手段,即便在组织内部也难以完全防御。建议开发者和用户提高警惕,谨慎对待来源不明的GitHub项目,特别是涉及钱包操作的项目。如需调试,最好在隔离环境中进行。

此次事件再次警示,开源生态系统虽然带来便利,但也存在潜在风险。用户在使用开源项目时需保持谨慎,关注项目的更新情况和社区反馈,并采取必要的安全防护措施。同时,开源平台也应加强对恶意项目的监管和审核,构建更安全的生态环境。