Solana用户资产被盗事件分析

2025年7月2日，一位用户向某安全团队求助，称其在使用GitHub上的开源项目"solana-pumpfun-bot"后遭遇加密资产被盗。安全团队随即展开调查。

调查发现，该GitHub项目存在多个异常迹象。首先，项目代码集中提交于三周前，缺乏持续更新。其次，项目依赖中包含一个可疑的第三方包"crypto-layout-utils"，该包已被NPM官方下架，且指定版本未出现在官方历史记录中。

进一步分析发现，攻击者在package-lock.json文件中替换了"crypto-layout-utils"的下载链接，指向一个GitHub仓库的release包。该包经过高度混淆，解混淆后确认为恶意代码。恶意包会扫描用户电脑文件，寻找钱包或私钥相关内容，并上传至攻击者控制的服务器。

攻击者还可能控制了一批GitHub账号，用于Fork恶意项目并提高Star数量，以增加项目可信度和扩大传播范围。部分Fork项目使用了另一个恶意包"bs58-encrypt-utils-1.0.3"。

通过链上分析工具追踪发现，部分被盗资金被转移至某交易平台。

本次攻击通过伪装合法开源项目，诱导用户下载运行含恶意依赖的Node.js项目，导致私钥泄露和资产被盗。攻击手法结合了社会工程和技术手段，具有较强的欺骗性和传播性。

建议开发者和用户对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作时。如需调试，应在独立且无敏感数据的环境中进行。

此事件涉及多个恶意GitHub仓库和NPM包，攻击者还利用了自控服务器接收窃取的数据。用户应谨慎使用开源项目，确保环境安全，以防类似攻击。