慢雾安全团队披露，GitHub上热门的Solana工具项目solana-pumpfun-bot暗藏恶意代码，导致用户私钥被盗，资产受损。攻击者通过篡改第三方包的下载链接，植入恶意代码，窃取用户私钥信息。受害者在运行该项目后遭遇加密资产被盗。慢雾提醒开发者和用户提高警惕，避免直接运行来源不明的开源代码，尤其涉及钱包操作时应使用隔离环境。此次攻击链条复杂，反映出供应链攻击风险的加剧。

⚠️攻击事件始于Solana工具项目solana-pumpfun-bot，该项目在GitHub上拥有一定的热度，但被发现暗藏恶意代码，导致用户私钥被盗。

🔍攻击者通过篡改项目依赖的第三方包crypto-layout-utils的下载链接，使其指向一个混淆加密的tgz文件。解混淆后，该文件被确认包含扫描用户电脑文件、上传含私钥信息至攻击者服务器的恶意代码。

💡攻击者疑似操控多个GitHub账号刷高项目Star和Fork数量，以此诱导更多用户下载恶意代码。除了crypto-layout-utils，攻击者还使用过bs58-encrypt-utils进行传播。

🚨链上追踪显示，部分被盗资金流向交易平台FixedFloat。慢雾安全团队提醒开发者和用户提高警惕，避免直接在本地运行来源不明的开源代码，尤其涉及钱包操作时应使用隔离环境。

⚠️此次攻击结合了社会工程与技术手段，反映出当前供应链攻击风险的加剧，凸显了对开源代码安全性的重视。

Foresight News 消息，据慢雾安全团队披露，一款在 GitHub 上热度较高的 Solana 工具项目 zldp2002/solana-pumpfun-bot 被发现暗藏恶意代码，导致用户私钥被盗、钱包资产损失。受害者于 7 月 2 日求助慢雾，起因是其在运行该项目后加密资产被盗。

经分析，项目依赖的第三方包 crypto-layout-utils 并非来自 NPM 官方，而是通过篡改下载链接的方式，指向一个混淆加密的 tgz 文件。该文件在解混淆后被确认包含扫描用户电脑文件、上传含私钥信息至攻击者服务器（githubshadow.xyz）的恶意代码。

攻击者疑似操控多个 GitHub 账号刷高项目 Star 和 Fork 数量，诱导更多用户下载恶意代码。除 crypto-layout-utils 外，攻击者还使用过另一个恶意包 bs58-encrypt-utils 进行传播。链上追踪显示，部分被盗资金流向交易平台 FixedFloat。

慢雾提醒开发者与用户提高警惕，避免直接在本地运行来源不明的开源代码，尤其涉及钱包操作时应使用隔离环境。此次攻击链条复杂，结合社会工程与技术手段，反映出当前供应链攻击风险的加剧。

来源链接