惡意NPM包竊取私鑰導致Solana用戶資產失竊事件分析

2025年7月2日，一名用戶向安全團隊尋求幫助，分析其加密資產被盜的原因。事件源於該用戶在前一天使用了一個托管在GitHub上的開源項目。

安全團隊隨即展開調查。訪問該項目的GitHub倉庫後發現，盡管項目的Star和Fork數量較高，但其代碼提交時間集中在三周前，呈現出異常特徵，缺乏正常項目應有的持續更新軌跡。

作爲一個基於Node.js的項目，安全團隊首先分析了其依賴包。發現項目引用了一個名爲crypto-layout-utils的第三方包，該包已被NPM官方下架，且package.json中指定的版本未出現在NPM官方的歷史記錄中。

進一步調查發現，攻擊者在package-lock.json文件中將crypto-layout-utils的下載連結替換爲自己控制的GitHub倉庫地址。下載並分析這個可疑的依賴包後，發現其代碼經過高度混淆處理。

解混淆後確認這是一個惡意NPM包。攻擊者在包中實現了掃描用戶電腦文件的邏輯，一旦發現錢包或私鑰相關內容就會上傳到攻擊者控制的服務器。

項目作者似乎控制了一批GitHub帳號，用於Fork惡意項目並進行分發，同時提高項目的Fork和Star數量，吸引更多用戶關注，擴大惡意程序的傳播範圍。

安全團隊還發現多個Fork項目存在類似惡意行爲，部分版本使用了另一款惡意包bs58-encrypt-utils-1.0.3。該惡意包自2025年6月12日創建，推測攻擊者從那時就開始分發惡意NPM包和Node.js項目。

通過鏈上分析工具追蹤發現，攻擊者將盜取的資金轉移至了某交易平台。

本次攻擊中，攻擊者僞裝成合法開源項目，誘導用戶下載運行惡意代碼。攻擊者通過刷高項目熱度，使用戶在毫無防備的情況下運行攜帶惡意依賴的Node.js項目，導致錢包私鑰泄露和資產被盜。

攻擊涉及多個GitHub帳號協同操作，擴大了傳播範圍，提升了可信度，具有極強的欺騙性。這類攻擊結合了社會工程和技術手段，即使在組織內部也難以完全防御。

建議開發者和用戶對來源不明的GitHub項目保持高度警惕，尤其是涉及錢包或私鑰操作時。如需運行調試，建議在獨立且無敏感數據的環境中進行。