Solana生態遭遇惡意NPM包攻擊，用戶資產面臨風險

2025年7月初，一起針對Solana生態的安全事件引起了廣泛關注。一名用戶在使用GitHub上的一個開源項目後，發現自己的加密資產被盜。經過安全團隊的調查，揭示了一起精心設計的攻擊行爲。

攻擊者僞裝成合法的開源項目，誘導用戶下載並運行含有惡意代碼的Node.js項目。這個名爲"solana-pumpfun-bot"的項目看似正常，擁有較高的Star和Fork數量，但其代碼更新異常集中，缺乏持續維護的特徵。

深入分析發現，項目依賴了一個可疑的第三方包"crypto-layout-utils"。該包已被NPM官方下架，但攻擊者通過修改package-lock.json文件，將下載連結指向了一個自控的GitHub倉庫。這個惡意包經過高度混淆，具有掃描用戶電腦文件的功能，一旦發現錢包或私鑰相關內容就會上傳到攻擊者的服務器。

攻擊者還控制了多個GitHub帳號，用於Fork惡意項目並提高其可信度。除了"crypto-layout-utils"，另一個名爲"bs58-encrypt-utils"的惡意包也被用於類似攻擊。這些惡意包自2025年6月中旬就開始分發，但在NPM採取行動後，攻擊者轉而使用替換下載連結的方式繼續傳播。

鏈上分析顯示，被盜資金有部分流向了某些交易平台。這種攻擊手法結合了社會工程和技術手段，即便在組織內部也難以完全防御。

爲防範類似風險，建議開發者和用戶對來源不明的GitHub項目保持高度警惕，尤其是涉及錢包或私鑰操作時。如需運行調試，最好在獨立且無敏感數據的環境中進行。

此次事件涉及多個惡意GitHub倉庫和NPM包，安全團隊已整理出相關信息清單，以供參考。這起攻擊再次提醒我們，在Web3生態中，安全意識和謹慎態度至關重要。