GitHub 上一个流行的 Solana 工具暗藏加密货币盗窃陷阱

作者： Thinking

编辑： Liz

背景

2025年7月2日，一位受害者联系了慢雾安全团队，寻求帮助分析其钱包资产被盗的原因。事件的起因是前一天受害者使用了 GitHub 上的一个开源项目 —— zldp2002/solana-pumpfun-bot —— 之后，他们的加密资产被盗。

调查

我们立即对事件展开了调查。我们的第一步是访问该项目的 GitHub 仓库：https://github.com/zldp2002/solana-pumpfun-bot。我们注意到该项目有相当多的 star 和 fork。然而，其所有目录中的代码提交都是在三周前完成的，这显示出明显的违规行为，并且缺乏合法项目持续更新的模式。

这是一个基于 Node.js 的项目。我们首先分析了它的依赖项，发现它引用了一个名为 crypto-layout-utils 的第三方包。

经过进一步检查，我们发现这个包已经从官方 NPM 注册表中删除。此外，package.json 文件中指定的版本没有出现在 NPM 的历史记录中。我们的初步判断是这是一个可疑的组件，并且无法再通过官方 NPM 注册表下载。这就提出了一个问题：受害者是如何获得这个恶意依赖项的？

继续我们的调查，我们在 package-lock.json 文件中找到了一个关键线索：攻击者已将 crypto-layout-utils 的 NPM 源链接替换为以下 URL：https://github.com/sjaduwhv/testing-dev-log/releases/download/1.3.1/crypto-layout-utils-1.3.1.tgz

我们下载了可疑包 crypto-layout-utils-1.3.1，发现它使用 jsjiami.com.v7 进行了大量混淆，这使得分析更加困难。

在反混淆之后，我们确认这确实是一个恶意 NPM 包。攻击者已在 crypto-layout-utils-1.3.1 中嵌入了逻辑来扫描受害者的本地文件。如果它检测到与钱包相关的内容或私钥，它会将此敏感信息上传到攻击者控制的服务器 —— githubshadow.xyz。

恶意 NPM 包扫描敏感文件和目录：

恶意 NPM 包上传私钥内容或文件：

当我们进一步探索攻击方法时，我们发现项目作者 (https://github.com/zldp2002/) 可能控制了一批 GitHub 帐户。这些帐户用于 fork 恶意项目并分发恶意软件，同时人为地增加 fork 和 star 的数量以吸引更多用户 —— 从而扩大恶意代码的分发范围。

我们发现了多个表现出类似恶意行为的 fork 仓库。某些版本甚至采用了另一个名为 bs58-encrypt-utils-1.0.3 的恶意包。

该软件包创建于 2025 年 6 月 12 日。我们认为攻击者当时开始分发恶意 NPM 模块和 Node.js 项目。在 bs58-encrypt-utils 从 NPM 注册表中删除后，攻击者转向了一种新策略 —— 通过将 NPM 下载链接替换为自定义链接来分发恶意软件。

此外，通过使用链上 AML 和跟踪工具 MistTrack，我们发现攻击者控制的一个地址将被盗资金转移到了 FixedFloat 交易所。

结论

在此次攻击中，犯罪者将恶意程序伪装成合法的开源项目（solana-pumpfun-bot），并引诱用户下载并运行它。该项目人为膨胀的受欢迎程度掩盖了其恶意意图，导致用户运行带有嵌入式恶意依赖项的 Node.js 项目 —— 不知不觉地暴露了他们的私钥，从而导致资产被盗。

此攻击链涉及多个 GitHub 帐户协同工作，这不仅扩大了其范围，而且增强了其可信度 —— 使其具有高度欺骗性。该攻击利用了社会工程和技术操纵的结合，即使在结构完善的组织中也很难完全防御。

我们敦促开发人员和用户在处理不熟悉的 GitHub 项目时要格外小心，尤其是在涉及钱包或私钥操作的项目时。如果必须进行测试，我们建议使用无法访问敏感数据的隔离环境。

恶意软件包信息

恶意 Node.js GitHub 仓库：

• 2723799947qq2022/solana-pumpfun-bot
• 2kwkkk/solana-pumpfun-bot
• 790659193qqch/solana-pumpfun-bot
• 7arlystar/solana-pumpfun-bot
• 918715c83/solana-pumpfun-bot
• AmirhBeigi7zch6f/solana-pumpfun-bot
• asmaamohamed0264/solana-pumpfun-bot
• bog-us/solana-pumpfun-bot
• edparker89/solana-pumpfun-bot
• ii4272/solana-pumpfun-bot
• ijtye/solana-pumpfun-bot
• iwanjunaids/solana-pumpfun-bot
• janmalece/solana-pumpfun-bot
• kay2x4/solana-pumpfun-bot
• lan666as2dfur/solana-pumpfun-bot
• loveccat/solana-pumpfun-bot
• lukgria/solana-pumpfun-bot
• mdemetrial26rvk9w/solana-pumpfun-bot
• oumengwas/solana-pumpfun-bot
• pangxingwaxg/solana-pumpfun-bot
• Rain-Rave5/solana-pumpfun-bot
• wc64561673347375/solana-pumpfun-bot
• wj6942/solana-pumpfun-bot
• xnaotutu77765/solana-pumpfun-bot
• yvagSirKt/solana-pumpfun-bot
• VictorVelea/solana-copy-bot
• Morning-Star213/Solana-pumpfun-bot
• warp-zara/solana-trading-bot
• harshith-eth/quant-bot

恶意 NPM 软件包：

• crypto-layout-utils
• bs58-encrypt-utils

恶意 NPM 软件包下载 URL：

https://github.com/sjaduwhv/testing-dev-log/releases/download/1.3.1/crypto-layout-utils-1.3.1.tgz

恶意软件包上传服务器：

githubshadow.xyz

关于慢雾

慢雾是一家成立于 2018 年 1 月的区块链安全公司。公司由一支拥有超过十年网络安全经验的团队创立，旨在成为一支全球力量。我们的目标是使区块链生态系统对每个人都尽可能安全。我们现在是一家著名的国际区块链安全公司，曾与多个知名项目合作，例如 HashKey Exchange、OSL、MEEX、BGE、BTCBOX、Bitget、BHEX.SG、OKX、Binance、HTX、Amber Group、Crypto.com 等。

慢雾提供各种服务，包括但不限于安全审计、威胁情报、防御部署、安全顾问和其他安全相关服务。我们还提供 AML（反洗钱）软件、MistEye（安全监控）、SlowMist Hacked（加密黑客档案）、FireWall.x（智能合约防火墙）和其他 SaaS 产品。我们与国内外公司建立了合作伙伴关系，例如 Akamai、BitDefender、RC²、天际伙伴、IPIP 等。我们在加密货币犯罪调查方面的大量工作已被国际组织和政府机构引用，包括联合国安全理事会和联合国毒品和犯罪问题办公室。

通过提供为各个项目定制的全面安全解决方案，我们可以识别风险并防止它们发生。我们的团队能够发现并发布多个高风险的区块链安全漏洞。通过这样做，我们可以提高人们的意识并提高区块链生态系统中的安全标准。

• 原文链接： slowmist.medium.com/a-po...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～