Solana项目遭恶意代码攻击用户私钥被窃取资产流失

2025-08-01 19:30:09

摘要生成中

Solana用户资产遭盗：开源项目暗藏恶意代码

2025年7月初，一位用户在使用GitHub上的开源项目后发现自己的加密资产被盗，随即向安全团队寻求帮助。经调查发现，这是一起精心策划的攻击事件，涉及伪装的开源项目和恶意NPM包。

调查人员首先访问了事发项目的GitHub仓库。该项目虽然拥有较高的Star和Fork数量，但其代码提交时间集中在三周前，缺乏持续更新的特征，引发了调查人员的怀疑。

进一步分析发现，项目依赖了一个名为crypto-layout-utils的第三方包。这个包已被NPM官方下架，而且package.json中指定的版本在NPM官方历史记录中并不存在。

关键线索出现在package-lock.json文件中：攻击者将crypto-layout-utils的下载链接替换为了一个GitHub上的地址。下载并分析这个可疑依赖包后，调查人员发现这是一个经过高度混淆的恶意代码。

解混淆后确认，这个NPM包会扫描用户电脑上的文件，寻找钱包或私钥相关的内容，一旦发现就上传到攻击者控制的服务器。

调查还发现，攻击者可能控制了多个GitHub账号，用于复制恶意项目并提高其可信度。一些相关项目使用了另一个恶意包bs58-encrypt-utils-1.0.3，该包自2025年6月12日起就开始分发。

通过链上分析工具追踪，发现一个攻击者地址在盗取资金后，将其转移至了一个加密货币交易平台。

总的来说，这次攻击通过伪装成合法开源项目，诱导用户下载并运行含有恶意代码的软件。攻击者还通过刷高项目热度来增加可信度，使用户在毫无防备的情况下运行了携带恶意依赖的项目，导致私钥泄露和资产被盗。

这种攻击手法结合了社会工程和技术手段，即使在组织内部也难以完全防御。建议开发者和用户对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作时。如需运行调试，最好在独立且无敏感数据的环境中进行。

多个GitHub仓库被发现参与传播恶意代码，包括但不限于：

恶意NPM包：

攻击者控制的服务器域名：

SOL2.54%

此页面可能包含第三方内容，仅供参考（非陈述/保证），不应被视为 Gate 认可其观点表述，也不得被视为财务或专业建议。详见声明。

22人点赞了这条动态

0/400

月光玩家

· 08-04 19:29

还得是SOL 祖传漏洞呗

闪电梭哈侠

· 08-01 19:43

装币被割啦又不长记性

链下人生赢家

· 08-01 19:38

又一个新韭菜诞生了

椰子丝半仙

· 08-01 19:36

谁还信开源项目敢用谁倒霉