請輸入關鍵字:

熱門搜尋:

惡意NPM包竊私鑰,Solana用戶資産遭盜

日期: 2025年7月4日 下午12:00

作者:Thinking

編輯:Liz

背景概述

2025 年 7 月 2 日,一名受害者聯係到慢霧安全團隊,尋求協助分析其錢包資産被盜的原因。事件起因於他前一天使用了一個託管在 GitHub 上的開源項目 —— zldp2002/solana-pumpfun-bot,隨後加密資産被盜。

分析過程

我們隨即著手調查此次事件。首先訪問該項目的 GitHub 倉庫:https://github.com/zldp2002/solana-pumpfun-bot,可以看到它的 Star 和 Fork 數量相對較高,但其各個目錄下的代碼提交時間均集中在三周前,呈現出明顯的異常,缺乏正常項目應有的持續更新軌迹。

惡意NPM包竊私鑰,Solana用戶資産遭盜

這是一個基於 Node.js 的項目。我們首先對其依賴包進行了分析,發現其引用了一個名為 crypto-layout-utils 的第三方包。

惡意NPM包竊私鑰,Solana用戶資産遭盜

進一步核查發現,該依賴包已被 NPM 官方下架,而且 package.json 中指定的版本並未出現在 NPM 官方的歷史記錄中。我們初步判斷該包為可疑組件,並已無法通過 NPM 官方源進行下載。那麼,受害者又是如何獲取到這個惡意依賴的呢?

惡意NPM包竊私鑰,Solana用戶資産遭盜

繼續深入項目,我們在 package-lock.json 文件中找到了關鍵綫索:攻擊者將 crypto-layout-utils 的下載鏈接替換成了:https://github.com/sjaduwhv/testing-dev-log/releases/download/1.3.1/crypto-layout-utils-1.3.1.tgz。

惡意NPM包竊私鑰,Solana用戶資産遭盜

我們下載了這個可疑的依賴包:crypto-layout-utils-1.3.1,發現這是一個使用 jsjiami.com.v7 進行高度混淆後的代碼,這增加了分析的難度。

惡意NPM包竊私鑰,Solana用戶資産遭盜

惡意NPM包竊私鑰,Solana用戶資産遭盜

解混淆後我們確認了這是一個惡意的 NPM 包,攻擊者在 crypto-layout-utils-1.3.1 中實現了掃描受害者電腦文件的邏輯,如果發現錢包或私鑰相關的内容或文件就上傳到攻擊者控制的服務器上(githubshadow.xyz)。

惡意 NPM 包掃描敏感文件和目錄:

惡意NPM包竊私鑰,Solana用戶資産遭盜

惡意 NPM 包上傳包含私鑰的内容或文件:

惡意NPM包竊私鑰,Solana用戶資産遭盜

我們繼續探索攻擊手法,項目作者(https://github.com/zldp2002/) 疑似控制了一批 GitHub 賬號, 用於 Fork 惡意項目並進行惡意程序分發,同時刷高項目的 Fork 和 Star 數量,引誘更多用戶關注,以便擴大惡意程序的分發範圍。

惡意NPM包竊私鑰,Solana用戶資産遭盜

我們還識別出多個 Fork 項目也存在類似惡意行為,其中部分版本使用了另一款惡意包 bs58-encrypt-utils-1.0.3。

該惡意包自 2025 年 6 月 12 日創建,猜測攻擊者這時候就已經開始分發惡意 NPM 和惡意 Node.js 項目,但在 NPM 下架 bs58-encrypt-utils 後,攻擊者改用了替換 NPM 包下載鏈接的方式進行分發。

惡意NPM包竊私鑰,Solana用戶資産遭盜

此外,我們使用鏈上反洗錢與追蹤工具 MistTrack 分析發現,其中一個攻擊者地址盜幣後,將資金轉移至了交易平台 FixedFloat。

惡意NPM包竊私鑰,Solana用戶資産遭盜

總結

本次攻擊事件中,攻擊者通過僞裝為合法開源項目(solana-pumpfun-bot),誘導用戶下載並運行惡意代碼。在刷高項目熱度的掩護下,用戶在毫無防備的情況下運行了攜帶惡意依賴的 Node.js 項目,導致錢包私鑰洩露、資産被盜。

整個攻擊鏈條涉及多個 GitHub 賬號協同操作,擴大了傳播範圍,提升了可信度,極具欺騙性。同時,這類攻擊通過社會工程與技術手段雙管齊下,在組織内部也很難完全防禦。

我們建議開發者與用戶高度警惕來路不明的 GitHub 項目,尤其是在涉及錢包或私鑰操作時。如果確實需要運行調試,建議在獨立且沒有敏感數據的機器環境運行和調試。

 

惡意依賴包相關信息

惡意 Node.js 項目的 GitHub 倉庫:

2723799947qq2022/solana-pumpfun-bot

2kwkkk/solana-pumpfun-bot

790659193qqch/solana-pumpfun-bot

7arlystar/solana-pumpfun-bot

918715c83/solana-pumpfun-bot

AmirhBeigi7zch6f/solana-pumpfun-bot

asmaamohamed0264/solana-pumpfun-bot

bog-us/solana-pumpfun-bot

edparker89/solana-pumpfun-bot

ii4272/solana-pumpfun-bot

ijtye/solana-pumpfun-bot

iwanjunaids/solana-pumpfun-bot

janmalece/solana-pumpfun-bot

kay2x4/solana-pumpfun-bot

lan666as2dfur/solana-pumpfun-bot

loveccat/solana-pumpfun-bot

lukgria/solana-pumpfun-bot

mdemetrial26rvk9w/solana-pumpfun-bot

oumengwas/solana-pumpfun-bot

pangxingwaxg/solana-pumpfun-bot

Rain-Rave5/solana-pumpfun-bot

wc64561673347375/solana-pumpfun-bot

wj6942/solana-pumpfun-bot

xnaotutu77765/solana-pumpfun-bot

yvagSirKt/solana-pumpfun-bot

VictorVelea/solana-copy-bot

Morning-Star213/Solana-pumpfun-bot

warp-zara/solana-trading-bot

harshith-eth/quant-bot

惡意 NPM 包:

crypto-layout-utils

bs58-encrypt-utils

惡意 NPM 包下載鏈接:

https://github.com/sjaduwhv/testing-dev-log/releases/download/1.3.1/crypto-layout-utils-1.3.1.tgz

惡意 NPM 包上傳數據的服務器:

githubshadow.xyz

内容來源:PANews

財華網所刊載內容之知識產權為財華網及相關權利人專屬所有或持有。未經許可,禁止進行轉載、摘編、複製及建立鏡像等任何使用。

如有意願轉載,請發郵件至 content@finet.com.hk,獲得書面確認及授權後,方可轉載。

更多精彩内容,請點擊: 財華網(https://www.finet.hk/) 財華智庫網(https://www.finet.com.cn) 現代電視FINTV(http://www.fintv.hk)

視頻

快訊

17:41
香港證監會與中國證監會舉行高層執法合作會議
17:34
香港存保會:存保計劃保障的存款總額上升至3.6萬億港元
17:29
石四藥集團(02005.HK)丙硫氧嘧啶片(50mg)取得藥品生產註冊批件
17:21
海螺材料科技(02560.HK):金峰獲選為董事長
17:18
富力地產(02777.HK)6月銷售收入約23.7億元
17:14
雙登股份(06960.HK)若干股東自願延長禁售期
17:04
旭輝控股集團(00884.HK)6月合同銷售金額約10.8億元
16:48
復宏漢霖(02696.HK)HLX37聯合HLX43用於晚期/轉移性實體瘤治療的1期臨床試驗申請獲批准
16:20
【異動股】港股跌幅榜前十,益美國際控股(01870.HK)跌44.33%,小魚盈通(00139.HK)跌44.12%
16:20
【異動股】港股漲幅榜前十,豐展控股股權(02980.HK)漲+110.00%,皇朝家居(01198.HK)漲+70.31%