Foresight News 消息，据慢雾安全团队披露，一款在 GitHub 上热度较高的 Solana 工具项目 zldp2002/solana-pumpfun-bot 被发现暗藏恶意代码，导致用户私钥被盗、钱包资产损失。受害者于 7 月 2 日求助慢雾，起因是其在运行该项目后加密资产被盗。

经分析，项目依赖的第三方包 crypto-layout-utils 并非来自 NPM 官方，而是通过篡改下载链接的方式，指向一个混淆加密的 tgz 文件。该文件在解混淆后被确认包含扫描用户电脑文件、上传含私钥信息至攻击者服务器（githubshadow.xyz）的恶意代码。

攻击者疑似操控多个 GitHub 账号刷高项目 Star 和 Fork 数量，诱导更多用户下载恶意代码。除 crypto-layout-utils 外，攻击者还使用过另一个恶意包 bs58-encrypt-utils 进行传播。链上追踪显示，部分被盗资金流向交易平台 FixedFloat。

慢雾提醒开发者与用户提高警惕，避免直接在本地运行来源不明的开源代码，尤其涉及钱包操作时应使用隔离环境。此次攻击链条复杂，结合社会工程与技术手段，反映出当前供应链攻击风险的加剧。