Solana生态遭遇NPM恶意包攻击事件分析

2025年7月初，Solana生态发生了一起由恶意NPM包引发的安全事件，导致多名用户资产被盗。本文将对该事件的来龙去脉进行详细剖析。

事件起因

事件源于一个托管在GitHub上的开源项目"solana-pumpfun-bot"。该项目表面上是一个Solana生态的交易机器人，但实际上包含了恶意代码。一名用户在使用该项目后，发现自己的加密资产莫名其妙被转走，随即向安全团队寻求帮助。

技术分析

安全研究人员对该项目进行了深入调查，发现了以下关键问题：

1. 项目异常：该GitHub仓库的Star和Fork数量较高，但代码提交记录集中在短期内，缺乏持续更新的特征。

2. 恶意依赖：项目引用了一个名为"crypto-layout-utils"的可疑第三方包。该包已被NPM官方下架，且版本号不存在于NPM的历史记录中。

3. 包下载链接被替换：在package-lock.json文件中，"crypto-layout-utils"的下载链接被替换为一个GitHub release链接。

4. 代码混淆：下载的可疑包使用jsjiami.com.v7进行了高度混淆，增加了分析难度。

5. 恶意行为：经过解混淆，研究人员发现该包会扫描用户电脑上的敏感文件，如发现钱包或私钥相关内容就上传到攻击者控制的服务器。

6. 攻击范围扩大：攻击者疑似控制了多个GitHub账号，用于Fork恶意项目并提高Star数量，以吸引更多用户。

7. 多个恶意版本：研究发现还存在另一个恶意包"bs58-encrypt-utils"，推测攻击活动可能从2025年6月中旬就已开始。

8. 资金流向：通过链上分析工具追踪，部分被盗资金被转移至某个交易平台。

攻击手法总结

攻击者通过伪装成合法的开源项目，诱导用户下载并运行含有恶意依赖的Node.js项目。攻击者还利用多个GitHub账号协同操作，提高项目可信度和传播范围。这种结合社会工程学和技术手段的攻击方式，极具欺骗性且难以防范。

安全建议

1. 谨慎对待来源不明的GitHub项目，特别是涉及钱包或私钥操作的项目。

2. 在运行和调试未知项目时，建议使用独立且不含敏感数据的环境。

3. 定期检查项目依赖，关注NPM等包管理平台的安全公告。

4. 使用可靠的安全工具和服务，及时发现潜在威胁。

5. 加强对开发团队的安全意识培训，提高警惕性。

本次事件再次提醒我们，在Web3生态中，安全始终是重中之重。开发者和用户都需要保持高度警惕，共同维护生态安全。