开源项目暗藏恶意代码，Solana用户私钥遭窃取

2025年7月初，一起针对Solana用户的恶意攻击事件引起了安全团队的关注。一位用户在使用托管于GitHub的开源项目后，发现其加密资产遭到盗窃。经过深入调查，安全专家揭示了这起事件的来龙去脉。

事件源于一个名为"solana-pumpfun-bot"的GitHub项目。该项目表面上star和fork数量颇高，但其代码提交历史异常集中，缺乏持续更新的特征。进一步分析发现，项目依赖了一个可疑的第三方包"crypto-layout-utils"。

这个可疑包已被npm官方下架，且其指定版本在官方历史记录中无迹可寻。通过检查package-lock.json文件，研究人员发现攻击者巧妙地将该包的下载链接替换为了一个GitHub release页面的地址。

下载并分析这个高度混淆的恶意包后，安全团队确认其中包含了扫描用户计算机文件的恶意代码。一旦发现与钱包或私钥相关的内容，就会将其上传至攻击者控制的服务器。

调查还发现，攻击者可能控制了多个GitHub账号，用于分发恶意程序并提高项目可信度。他们通过Fork和Star操作来吸引更多用户关注，扩大攻击范围。

除了"crypto-layout-utils"，另一个名为"bs58-encrypt-utils"的恶意包也被用于类似攻击。这表明攻击者在npm下架包后，转而采用替换下载链接的方式继续分发恶意代码。

链上分析显示，被盗资金经由某些中间钱包后，最终流向了加密货币交易平台。

这起事件凸显了开源社区面临的安全挑战。攻击者通过伪装合法项目、刷高热度等手段，成功诱导用户运行含有恶意依赖的代码，导致私钥泄露和资产损失。

安全专家建议开发者和用户对来源不明的GitHub项目保持高度警惕，尤其是涉及钱包或私钥操作时。如需调试，最好在隔离环境中进行，避免敏感数据泄露。

此次事件涉及多个恶意GitHub仓库和npm包，安全团队已整理相关信息供社区参考。开发者应谨慎使用第三方依赖，定期审查项目安全性，共同维护开源生态健康发展。