恶意NPM包窃取私钥导致Solana用户资产失窃事件分析

2025年7月2日，一名用户向安全团队寻求帮助，分析其加密资产被盗的原因。事件源于该用户在前一天使用了一个托管在GitHub上的开源项目。

安全团队随即展开调查。访问该项目的GitHub仓库后发现，尽管项目的Star和Fork数量较高，但其代码提交时间集中在三周前，呈现出异常特征，缺乏正常项目应有的持续更新轨迹。

作为一个基于Node.js的项目，安全团队首先分析了其依赖包。发现项目引用了一个名为crypto-layout-utils的第三方包，该包已被NPM官方下架，且package.json中指定的版本未出现在NPM官方的历史记录中。

进一步调查发现，攻击者在package-lock.json文件中将crypto-layout-utils的下载链接替换为自己控制的GitHub仓库地址。下载并分析这个可疑的依赖包后，发现其代码经过高度混淆处理。

解混淆后确认这是一个恶意NPM包。攻击者在包中实现了扫描用户电脑文件的逻辑，一旦发现钱包或私钥相关内容就会上传到攻击者控制的服务器。

项目作者似乎控制了一批GitHub账号，用于Fork恶意项目并进行分发，同时提高项目的Fork和Star数量，吸引更多用户关注，扩大恶意程序的传播范围。

安全团队还发现多个Fork项目存在类似恶意行为，部分版本使用了另一款恶意包bs58-encrypt-utils-1.0.3。该恶意包自2025年6月12日创建，推测攻击者从那时就开始分发恶意NPM包和Node.js项目。

通过链上分析工具追踪发现，攻击者将盗取的资金转移至了某交易平台。

本次攻击中，攻击者伪装成合法开源项目，诱导用户下载运行恶意代码。攻击者通过刷高项目热度，使用户在毫无防备的情况下运行携带恶意依赖的Node.js项目，导致钱包私钥泄露和资产被盗。

攻击涉及多个GitHub账号协同操作，扩大了传播范围，提升了可信度，具有极强的欺骗性。这类攻击结合了社会工程和技术手段，即使在组织内部也难以完全防御。

建议开发者和用户对来源不明的GitHub项目保持高度警惕，尤其是涉及钱包或私钥操作时。如需运行调试，建议在独立且无敏感数据的环境中进行。