開源項目暗藏惡意代碼，Solana用戶私鑰遭竊取

2025年7月初，一起針對Solana用戶的惡意攻擊事件引起了安全團隊的關注。一位用戶在使用托管於GitHub的開源項目後，發現其加密資產遭到盜竊。經過深入調查，安全專家揭示了這起事件的來龍去脈。

事件源於一個名爲"solana-pumpfun-bot"的GitHub項目。該項目表面上star和fork數量頗高，但其代碼提交歷史異常集中，缺乏持續更新的特徵。進一步分析發現，項目依賴了一個可疑的第三方包"crypto-layout-utils"。

這個可疑包已被npm官方下架，且其指定版本在官方歷史記錄中無跡可尋。通過檢查package-lock.json文件，研究人員發現攻擊者巧妙地將該包的下載連結替換爲了一個GitHub release頁面的地址。

下載並分析這個高度混淆的惡意包後，安全團隊確認其中包含了掃描用戶計算機文件的惡意代碼。一旦發現與錢包或私鑰相關的內容，就會將其上傳至攻擊者控制的服務器。

調查還發現，攻擊者可能控制了多個GitHub帳號，用於分發惡意程序並提高項目可信度。他們通過Fork和Star操作來吸引更多用戶關注，擴大攻擊範圍。

除了"crypto-layout-utils"，另一個名爲"bs58-encrypt-utils"的惡意包也被用於類似攻擊。這表明攻擊者在npm下架包後，轉而採用替換下載連結的方式繼續分發惡意代碼。

鏈上分析顯示，被盜資金經由某些中間錢包後，最終流向了加密貨幣交易平台。

這起事件凸顯了開源社區面臨的安全挑戰。攻擊者通過僞裝合法項目、刷高熱度等手段，成功誘導用戶運行含有惡意依賴的代碼，導致私鑰泄露和資產損失。

安全專家建議開發者和用戶對來源不明的GitHub項目保持高度警惕，尤其是涉及錢包或私鑰操作時。如需調試，最好在隔離環境中進行，避免敏感數據泄露。

此次事件涉及多個惡意GitHub倉庫和npm包，安全團隊已整理相關信息供社區參考。開發者應謹慎使用第三方依賴，定期審查項目安全性，共同維護開源生態健康發展。