Solana用戶遭遇隱蔽惡意代碼攻擊，私鑰泄露導致資產被盜

2025年7月初，一起針對Solana用戶的惡意代碼攻擊事件被曝光。一名用戶在使用托管於GitHub的開源項目後，發現自己的加密資產被盜。經安全團隊調查，這起事件涉及一個精心僞裝的惡意Node.js項目。

調查發現，攻擊者通過在GitHub上發布看似正常的開源項目來吸引用戶。這些項目的Star和Fork數量被人爲抬高，以增加可信度。然而，項目代碼的更新時間集中在短期內，缺乏持續維護的特徵。

進一步分析揭示，項目依賴了一個名爲crypto-layout-utils的可疑第三方包。該包已被NPM官方下架，且指定版本未出現在NPM的歷史記錄中。攻擊者通過修改package-lock.json文件，將依賴包的下載連結指向了一個自控的GitHub倉庫。

這個惡意NPM包經過高度混淆，其功能是掃描用戶計算機上的敏感文件，特別是與加密錢包和私鑰相關的內容。一旦發現目標文件，就會將其上傳到攻擊者控制的服務器。

調查還發現，攻擊者可能控制了多個GitHub帳號，用於分發惡意程序並提高項目熱度。除了crypto-layout-utils，另一個名爲bs58-encrypt-utils的惡意包也被用於類似攻擊。

鏈上分析顯示，被盜資金經過一系列轉移後，最終流向了某加密貨幣交換平台。

這種攻擊手法結合了社會工程和技術手段，具有很強的欺騙性。它不僅針對個人用戶，也可能對組織構成威脅。建議開發者和用戶對來源不明的GitHub項目保持警惕，尤其是涉及錢包或私鑰操作的項目。如需調試此類項目，最好在隔離的環境中進行，避免敏感數據泄露。

此次事件再次提醒我們，在去中心化世界中，用戶自身的安全意識和防範措施至關重要。面對日益復雜的攻擊手段，保持警惕、定期更新安全知識，並採取必要的防護措施，才能更好地保護自己的數字資產。