Solana用戶資產遭盜：開源項目暗藏惡意代碼

2025年7月初，一位用戶在使用GitHub上的開源項目後發現自己的加密資產被盜，隨即向安全團隊尋求幫助。經調查發現，這是一起精心策劃的攻擊事件，涉及僞裝的開源項目和惡意NPM包。

調查人員首先訪問了事發項目的GitHub倉庫。該項目雖然擁有較高的Star和Fork數量，但其代碼提交時間集中在三周前，缺乏持續更新的特徵，引發了調查人員的懷疑。

進一步分析發現，項目依賴了一個名爲crypto-layout-utils的第三方包。這個包已被NPM官方下架，而且package.json中指定的版本在NPM官方歷史記錄中並不存在。

關鍵線索出現在package-lock.json文件中：攻擊者將crypto-layout-utils的下載連結替換爲了一個GitHub上的地址。下載並分析這個可疑依賴包後，調查人員發現這是一個經過高度混淆的惡意代碼。

解混淆後確認，這個NPM包會掃描用戶電腦上的文件，尋找錢包或私鑰相關的內容，一旦發現就上傳到攻擊者控制的服務器。

調查還發現，攻擊者可能控制了多個GitHub帳號，用於復制惡意項目並提高其可信度。一些相關項目使用了另一個惡意包bs58-encrypt-utils-1.0.3，該包自2025年6月12日起就開始分發。

通過鏈上分析工具追蹤，發現一個攻擊者地址在盜取資金後，將其轉移至了一個加密貨幣交易平台。

總的來說，這次攻擊通過僞裝成合法開源項目，誘導用戶下載並運行含有惡意代碼的軟件。攻擊者還通過刷高項目熱度來增加可信度，使用戶在毫無防備的情況下運行了攜帶惡意依賴的項目，導致私鑰泄露和資產被盜。

這種攻擊手法結合了社會工程和技術手段，即使在組織內部也難以完全防御。建議開發者和用戶對來源不明的GitHub項目保持高度警惕，特別是涉及錢包或私鑰操作時。如需運行調試，最好在獨立且無敏感數據的環境中進行。

涉事項目及惡意包信息

多個GitHub倉庫被發現參與傳播惡意代碼，包括但不限於：

• 2723799947qq2022/solana-pumpfun-bot
• 2kwkkk/solana-pumpfun-bot
• 790659193qqch/solana-pumpfun-bot
• 7arlystar/solana-pumpfun-bot
• 918715c83/solana-pumpfun-bot

惡意NPM包：

• crypto-layout-utils
• bs58-encrypt-utils

攻擊者控制的服務器域名：

• githubshadow.xyz