Solana 用戶遭惡意 NPM 包竊取私鑰事件分析

事件背景

近日，一位用戶在使用某開源項目後遭遇資產被盜，經安全團隊調查發現這是一起涉及惡意 NPM 包的攻擊事件。攻擊者通過在 GitHub 上僞裝合法項目，誘使用戶下載並運行含有惡意代碼的程序，從而竊取用戶的錢包私鑰。

攻擊手法分析

安全團隊對涉事 GitHub 項目進行了深入分析。該項目雖然擁有較高的 Star 和 Fork 數量，但其代碼更新異常集中，缺乏持續維護的特徵。

進一步調查發現，項目依賴了一個名爲 crypto-layout-utils 的可疑第三方包。該包已被 NPM 官方下架，且指定版本不存在於官方歷史記錄中。

攻擊者通過修改 package-lock.json 文件，將依賴包下載連結替換爲自己控制的 GitHub 倉庫地址，繞過了 NPM 的安全審核。

下載並分析這個可疑依賴包後，發現其代碼經過高度混淆。解混淆後確認這是一個惡意 NPM 包，其功能包括：

1. 掃描用戶電腦上的敏感文件和目錄
2. 尋找包含錢包或私鑰相關的內容
3. 將發現的敏感信息上傳至攻擊者控制的服務器

此外，攻擊者還控制了多個 GitHub 帳號來 Fork 惡意項目，抬高項目熱度，擴大傳播範圍。

攻擊影響

受害用戶在毫無防備的情況下運行了攜帶惡意依賴的 Node.js 項目，導致錢包私鑰泄露、加密資產被盜。

通過鏈上分析工具追蹤，部分被盜資金已被轉移至某交易平台。

安全建議

1. 謹慎對待來源不明的 GitHub 項目，尤其是涉及錢包或私鑰操作的項目。
2. 在獨立且無敏感數據的環境中運行和調試未知項目。
3. 開發者應加強對第三方依賴包的安全審查。
4. 用戶應定期更新安全軟件，並保持警惕。

相關信息

安全團隊已識別出多個涉及此類攻擊的 GitHub 倉庫和惡意 NPM 包。建議開發者和用戶提高警惕，避免使用這些已知的惡意資源。

此類攻擊結合了社會工程和技術手段，具有較強的隱蔽性和欺騙性。即便是在組織內部，也很難完全防御此類攻擊。因此，提高安全意識、加強代碼審查和環境隔離顯得尤爲重要。