今日运势评分

-7

本月运势

癸未月

震荡偏多

比肩争财,寅冲申
丁不剃头头必生疮
丑不冠带主不还乡

破屋,坏垣,馀事勿取

诸事不宜

月相

渐盈凸

冲顶回落

日冲

Powered by RitMEX

TRUMP8.64 -0.23%

SUI2.88 -0.32%

TON2.78 -3.99%

TRX0.29 0.24%

DOGE0.17 -0.43%

XRP2.30 2.07%

SOL150.57 -0.61%

BNB661.45 -0.30%

ETH2554.10 0.67%

BTC108285.23 -0.21%

ETH Gas1.86 Gwei

贪婪
73

恶意 NPM 包窃私钥,Solana 用户资产遭盗

恶意开源项目植入后门NPM包,窃取用户私钥致Solana钱包资产被盗。

作者:Thinking

编辑:Liz

背景概述

2025 年 7 月 2 日,一名受害者联系到慢雾安全团队,寻求协助分析其钱包资产被盗的原因。事件起因于他前一天使用了一个托管在 GitHub 上的开源项目 —— zldp2002/solana-pumpfun-bot,随后加密资产被盗。

分析过程

我们随即着手调查此次事件。首先访问该项目的 GitHub 仓库:https://github.com/zldp2002/solana-pumpfun-bot,可以看到它的 Star 和 Fork 数量相对较高,但其各个目录下的代码提交时间均集中在三周前,呈现出明显的异常,缺乏正常项目应有的持续更新轨迹。

恶意NPM包窃私钥,Solana用户资产遭盗

这是一个基于 Node.js 的项目。我们首先对其依赖包进行了分析,发现其引用了一个名为 crypto-layout-utils 的第三方包。

恶意NPM包窃私钥,Solana用户资产遭盗

进一步核查发现,该依赖包已被 NPM 官方下架,而且 package.json 中指定的版本并未出现在 NPM 官方的历史记录中。我们初步判断该包为可疑组件,并已无法通过 NPM 官方源进行下载。那么,受害者又是如何获取到这个恶意依赖的呢?

恶意NPM包窃私钥,Solana用户资产遭盗

继续深入项目,我们在 package-lock.json 文件中找到了关键线索:攻击者将 crypto-layout-utils 的下载链接替换成了:https://github.com/sjaduwhv/testing-dev-log/releases/download/1.3.1/crypto-layout-utils-1.3.1.tgz。

恶意NPM包窃私钥,Solana用户资产遭盗

我们下载了这个可疑的依赖包:crypto-layout-utils-1.3.1,发现这是一个使用 jsjiami.com.v7 进行高度混淆后的代码,这增加了分析的难度。

恶意NPM包窃私钥,Solana用户资产遭盗

恶意NPM包窃私钥,Solana用户资产遭盗

解混淆后我们确认了这是一个恶意的 NPM 包,攻击者在 crypto-layout-utils-1.3.1 中实现了扫描受害者电脑文件的逻辑,如果发现钱包或私钥相关的内容或文件就上传到攻击者控制的服务器上(githubshadow.xyz)。

恶意 NPM 包扫描敏感文件和目录:

恶意NPM包窃私钥,Solana用户资产遭盗

恶意 NPM 包上传包含私钥的内容或文件:

恶意NPM包窃私钥,Solana用户资产遭盗

我们继续探索攻击手法,项目作者(https://github.com/zldp2002/) 疑似控制了一批 GitHub 账号, 用于 Fork 恶意项目并进行恶意程序分发,同时刷高项目的 Fork 和 Star 数量,引诱更多用户关注,以便扩大恶意程序的分发范围。

恶意NPM包窃私钥,Solana用户资产遭盗

我们还识别出多个 Fork 项目也存在类似恶意行为,其中部分版本使用了另一款恶意包 bs58-encrypt-utils-1.0.3。

该恶意包自 2025 年 6 月 12 日创建,猜测攻击者这时候就已经开始分发恶意 NPM 和恶意 Node.js 项目,但在 NPM 下架 bs58-encrypt-utils 后,攻击者改用了替换 NPM 包下载链接的方式进行分发。

恶意NPM包窃私钥,Solana用户资产遭盗

此外,我们使用链上反洗钱与追踪工具 MistTrack 分析发现,其中一个攻击者地址盗币后,将资金转移至了交易平台 FixedFloat。

恶意NPM包窃私钥,Solana用户资产遭盗

总结

本次攻击事件中,攻击者通过伪装为合法开源项目(solana-pumpfun-bot),诱导用户下载并运行恶意代码。在刷高项目热度的掩护下,用户在毫无防备的情况下运行了携带恶意依赖的 Node.js 项目,导致钱包私钥泄露、资产被盗。

整个攻击链条涉及多个 GitHub 账号协同操作,扩大了传播范围,提升了可信度,极具欺骗性。同时,这类攻击通过社会工程与技术手段双管齐下,在组织内部也很难完全防御。

我们建议开发者与用户高度警惕来路不明的 GitHub 项目,尤其是在涉及钱包或私钥操作时。如果确实需要运行调试,建议在独立且没有敏感数据的机器环境运行和调试。

 

恶意依赖包相关信息

恶意 Node.js 项目的 GitHub 仓库:

2723799947qq2022/solana-pumpfun-bot

2kwkkk/solana-pumpfun-bot

790659193qqch/solana-pumpfun-bot

7arlystar/solana-pumpfun-bot

918715c83/solana-pumpfun-bot

AmirhBeigi7zch6f/solana-pumpfun-bot

asmaamohamed0264/solana-pumpfun-bot

bog-us/solana-pumpfun-bot

edparker89/solana-pumpfun-bot

ii4272/solana-pumpfun-bot

ijtye/solana-pumpfun-bot

iwanjunaids/solana-pumpfun-bot

janmalece/solana-pumpfun-bot

kay2x4/solana-pumpfun-bot

lan666as2dfur/solana-pumpfun-bot

loveccat/solana-pumpfun-bot

lukgria/solana-pumpfun-bot

mdemetrial26rvk9w/solana-pumpfun-bot

oumengwas/solana-pumpfun-bot

pangxingwaxg/solana-pumpfun-bot

Rain-Rave5/solana-pumpfun-bot

wc64561673347375/solana-pumpfun-bot

wj6942/solana-pumpfun-bot

xnaotutu77765/solana-pumpfun-bot

yvagSirKt/solana-pumpfun-bot

VictorVelea/solana-copy-bot

Morning-Star213/Solana-pumpfun-bot

warp-zara/solana-trading-bot

harshith-eth/quant-bot

恶意 NPM 包:

crypto-layout-utils

bs58-encrypt-utils

恶意 NPM 包下载链接:

https://github.com/sjaduwhv/testing-dev-log/releases/download/1.3.1/crypto-layout-utils-1.3.1.tgz

恶意 NPM 包上传数据的服务器:

githubshadow.xyz

欢迎加入深潮TechFlow官方社群

Telegram订阅群:https://t.me/TechFlowDaily
Twitter官方账号:https://x.com/TechFlowPost
Twitter英文账号:https://x.com/BlockFlow_News
作者慢雾科技@SlowMist_Team
相关文章
2025.07.04 - 3 天前
Solana 现货 ETF 上线,下一个山寨币季的开端?
Solana现货ETF的上线不仅是单一产品的胜利,更是一个信号——山寨币正在迈向主流金融的舞台。
2025.07.01 - 7 天前
加密早报:Robinhood 将推出自有区块链,Solana 顾问加入 X 平台
BitMine 宣布正在进行 2.5 亿美元私募融资,用于启动以太坊储备策略。
2025.06.26 - 12 天前
Solana 战壕六月新动向:Pumpfun ICO、交易软件混战与 Launchpad 竞赛
Solana Memecoin 的每日交易量从 10-11 UTC 开始上升,并在 15-20 UTC 达到峰值,与美国白天工作时间高度吻合。
2025.06.25 - 12 天前
SOL 会成为华尔街的新宠吗?
曾经因多次宕机而备受批评的 Solana,如今正成为企业金库中的「战略资产」。
2025.06.23 - 14 天前
分叉 Solana,Meme 币 Gorbagana 整活只花了48 小时
在现在这个沉闷的市场中,活跃的草根从未缺席,缺的或许只是激发他们热情的导火索。
2025.06.23 - 14 天前
速览竞相上市 Solana 现货 ETF 的 8 个选手
包括 VanEck、21Shares、Canary Capital、Bitwise、Grayscale、富兰克林邓普顿、富达和 CoinShares。
2025.06.19 - 18 天前
华尔街新宠:继比特币和以太坊之后,为什么企业金库开始豪赌 Solana?
加拿大上市公司 Sol Strategies 计划以「STKE」为代码登陆纳斯达克,标志着企业金库从比特币的「数字黄金」到以太坊的「生产性资产」,再到 Solana 的「金融操作系统」的战略演进。
2025.06.19 - 18 天前
Lily Liu 做客 OKX 直播间:分享 Solana 生态叙事、核心竞争力、与人才哲学
Lily Liu表示,Solana的接下来一个核心愿景是成为"Best Place for Capital"。
2025.06.17 - 20 天前
特朗普手机迷局:复刻「自由手机」骗局,还是效仿 Solana 的财富密码?
小唐纳德·特朗普和埃里克·特朗普推出「特朗普手机」,不仅是硬件产品,更是政治宣言,试图将特定意识形态与商业模式结合。
2025.06.16 - 21 天前
OSL 协助 MemeStrategy 购入 2,440 枚 Solana,成最具代表性的投资 Solana 生态的香港上市公司
此次交易不仅标志着MemeStrategy 成为首家投资Solana生态的香港上市公司,也进一步印证了OSL作为机构投资者配置数字资产的首选平台地位。