SBOM情报预警 | 恶意NPM组件窃取Solana智能合约私钥近日(2025.02.15 ~ 2025.02.19),悬镜供应链安全情报中心在NPM官方仓库(www.npmjs.com)中捕获多起针对Windows、Linux及Mac平台Solana智能合约用户开展合约私钥窃取的NodeJs组件投毒事件。投毒者(satoshinana11)在npmjs官方源上连续投放4个伪装成Solana智能合约SDK的NPM恶意组件包,并利用代码混淆技术对抗静态安全检测,已有多名NodeJs开发者受到投毒攻击导致合约私钥泄露。