Solana用户遭遇隐蔽恶意代码攻击，私钥泄露导致资产被盗

2025年7月初，一起针对Solana用户的恶意代码攻击事件被曝光。一名用户在使用托管于GitHub的开源项目后，发现自己的加密资产被盗。经安全团队调查，这起事件涉及一个精心伪装的恶意Node.js项目。

调查发现，攻击者通过在GitHub上发布看似正常的开源项目来吸引用户。这些项目的Star和Fork数量被人为抬高，以增加可信度。然而，项目代码的更新时间集中在短期内，缺乏持续维护的特征。

进一步分析揭示，项目依赖了一个名为crypto-layout-utils的可疑第三方包。该包已被NPM官方下架，且指定版本未出现在NPM的历史记录中。攻击者通过修改package-lock.json文件，将依赖包的下载链接指向了一个自控的GitHub仓库。

这个恶意NPM包经过高度混淆，其功能是扫描用户计算机上的敏感文件，特别是与加密钱包和私钥相关的内容。一旦发现目标文件，就会将其上传到攻击者控制的服务器。

调查还发现，攻击者可能控制了多个GitHub账号，用于分发恶意程序并提高项目热度。除了crypto-layout-utils，另一个名为bs58-encrypt-utils的恶意包也被用于类似攻击。

链上分析显示，被盗资金经过一系列转移后，最终流向了某加密货币交换平台。

这种攻击手法结合了社会工程和技术手段，具有很强的欺骗性。它不仅针对个人用户，也可能对组织构成威胁。建议开发者和用户对来源不明的GitHub项目保持警惕，尤其是涉及钱包或私钥操作的项目。如需调试此类项目，最好在隔离的环境中进行，避免敏感数据泄露。

此次事件再次提醒我们，在去中心化世界中，用户自身的安全意识和防范措施至关重要。面对日益复杂的攻击手段，保持警惕、定期更新安全知识，并采取必要的防护措施，才能更好地保护自己的数字资产。