7月3日,慢雾安全团队监测到GitHub平台Solana生态工具solana-pumpfun-bot植入恶意代码,攻击路径涉及两个伪装成依赖库的NPM包(crypto-layout-utils、bs58-encrypt-utils)。经分析发现,该工具具备文件扫描功能,可窃取本地存储的钱包私钥并传输至远程服务器。
攻击者通过创建多账号矩阵操控项目热度,同时篡改NPM包下载地址规避官方审核机制。该事件暴露出开发工具供应链风险,可能引发市场对Solana生态安全性的担忧,影响短期价格稳定性。安全团队建议开发者严格检查第三方依赖库,涉及密钥交互的工具需在隔离环境中运行测试。
