Solana 用户遭恶意 NPM 包窃取私钥事件分析

事件背景

近日，一位用户在使用某开源项目后遭遇资产被盗，经安全团队调查发现这是一起涉及恶意 NPM 包的攻击事件。攻击者通过在 GitHub 上伪装合法项目，诱使用户下载并运行含有恶意代码的程序，从而窃取用户的钱包私钥。

攻击手法分析

安全团队对涉事 GitHub 项目进行了深入分析。该项目虽然拥有较高的 Star 和 Fork 数量，但其代码更新异常集中，缺乏持续维护的特征。

进一步调查发现，项目依赖了一个名为 crypto-layout-utils 的可疑第三方包。该包已被 NPM 官方下架，且指定版本不存在于官方历史记录中。

攻击者通过修改 package-lock.json 文件，将依赖包下载链接替换为自己控制的 GitHub 仓库地址，绕过了 NPM 的安全审核。

下载并分析这个可疑依赖包后，发现其代码经过高度混淆。解混淆后确认这是一个恶意 NPM 包，其功能包括：

1. 扫描用户电脑上的敏感文件和目录
2. 寻找包含钱包或私钥相关的内容
3. 将发现的敏感信息上传至攻击者控制的服务器

此外，攻击者还控制了多个 GitHub 账号来 Fork 恶意项目，抬高项目热度，扩大传播范围。

攻击影响

受害用户在毫无防备的情况下运行了携带恶意依赖的 Node.js 项目，导致钱包私钥泄露、加密资产被盗。

通过链上分析工具追踪，部分被盗资金已被转移至某交易平台。

安全建议

1. 谨慎对待来源不明的 GitHub 项目，尤其是涉及钱包或私钥操作的项目。
2. 在独立且无敏感数据的环境中运行和调试未知项目。
3. 开发者应加强对第三方依赖包的安全审查。
4. 用户应定期更新安全软件，并保持警惕。

相关信息

安全团队已识别出多个涉及此类攻击的 GitHub 仓库和恶意 NPM 包。建议开发者和用户提高警惕，避免使用这些已知的恶意资源。

此类攻击结合了社会工程和技术手段，具有较强的隐蔽性和欺骗性。即便是在组织内部，也很难完全防御此类攻击。因此，提高安全意识、加强代码审查和环境隔离显得尤为重要。