Solana生態遭遇NPM惡意包攻擊事件分析

2025年7月初，Solana生態發生了一起由惡意NPM包引發的安全事件，導致多名用戶資產被盜。本文將對該事件的來龍去脈進行詳細剖析。

事件起因

事件源於一個托管在GitHub上的開源項目"solana-pumpfun-bot"。該項目表面上是一個Solana生態的交易機器人，但實際上包含了惡意代碼。一名用戶在使用該項目後，發現自己的加密資產莫名其妙被轉走，隨即向安全團隊尋求幫助。

技術分析

安全研究人員對該項目進行了深入調查，發現了以下關鍵問題：

1. 項目異常：該GitHub倉庫的Star和Fork數量較高，但代碼提交記錄集中在短期內，缺乏持續更新的特徵。

2. 惡意依賴：項目引用了一個名爲"crypto-layout-utils"的可疑第三方包。該包已被NPM官方下架，且版本號不存在於NPM的歷史記錄中。

3. 包下載連結被替換：在package-lock.json文件中，"crypto-layout-utils"的下載連結被替換爲一個GitHub release連結。

4. 代碼混淆：下載的可疑包使用jsjiami.com.v7進行了高度混淆，增加了分析難度。

5. 惡意行爲：經過解混淆，研究人員發現該包會掃描用戶電腦上的敏感文件，如發現錢包或私鑰相關內容就上傳到攻擊者控制的服務器。

6. 攻擊範圍擴大：攻擊者疑似控制了多個GitHub帳號，用於Fork惡意項目並提高Star數量，以吸引更多用戶。

7. 多個惡意版本：研究發現還存在另一個惡意包"bs58-encrypt-utils"，推測攻擊活動可能從2025年6月中旬就已開始。

8. 資金流向：通過鏈上分析工具追蹤，部分被盜資金被轉移至某個交易平台。

攻擊手法總結

攻擊者通過僞裝成合法的開源項目，誘導用戶下載並運行含有惡意依賴的Node.js項目。攻擊者還利用多個GitHub帳號協同操作，提高項目可信度和傳播範圍。這種結合社會工程學和技術手段的攻擊方式，極具欺騙性且難以防範。

安全建議

1. 謹慎對待來源不明的GitHub項目，特別是涉及錢包或私鑰操作的項目。

2. 在運行和調試未知項目時，建議使用獨立且不含敏感數據的環境。

3. 定期檢查項目依賴，關注NPM等包管理平台的安全公告。

4. 使用可靠的安全工具和服務，及時發現潛在威脅。

5. 加強對開發團隊的安全意識培訓，提高警惕性。

本次事件再次提醒我們，在Web3生態中，安全始終是重中之重。開發者和用戶都需要保持高度警惕，共同維護生態安全。