⚠️NPM 生態大規模投毒：你的錢包可能已被盯上！ 注意：NPM發生了一起嚴重的供應鏈攻擊事件—— 攻擊者通過釣魚手段入侵 全球最大的 JS 包管理平臺 NPM 上幾個知名包（如 chalk、debug 等）的維護者賬號，然後在這些包裡注入了惡意代碼。 因為這些包是整個 JavaScript 生態裡最常用的工具，每週下載量超過 20 億次，所以影響面極大。 這次是 NPM 生態裡史上最大規模的供應鏈攻擊之一，黑客利用維護者賬號在常用包裡注入惡意代碼，專門針對 Web3/加密錢包用戶，通過瀏覽器劫持來“無聲盜幣”。 這個意思就是：你所交互的項目、軟件錢包、瀏覽器插件等，都可能因使用了這個版本的惡意庫而存在風險。 1️⃣ 攻擊範圍 被植入惡意代碼的包包括：chalk、debug、ansi-styles、supports-color 等 18 個高頻使用的依賴。 這些庫是很多前端、後端和 CLI 工具的基礎組件，幾乎整個 JS 生態都可能受影響。 2️⃣惡意代碼的功能 瀏覽器劫持：注入到 fetch、XMLHttpRequest、window.ethereum 等 API。 掃描敏感數據：檢測交易請求、錢包地址（支持 ETH、BTC、Solana、Tron、LTC、BCH 等多鏈格式）。 地址替換：把用戶輸入或應用調用中的合法收款地址，替換成攻擊者控制的錢包地址。 交易劫持：即使用戶看到的界面是正確的，簽名時實際交易會被篡改，把資金轉給黑客。 隱蔽性：替換成“相似地址”，讓用戶難以察覺；避免在界面層做太明顯的修改。 3️⃣受害風險 所有依賴這些包的 Web3 應用、網站和錢包插件，都可能被間接感染。 用戶在瀏覽器裡使用錢包時，可能在不知情的情況下，把資金批准或轉賬到黑客賬戶。 4️⃣核心：安全建議 建議在各大平臺、錢包與開發團隊自查並排除風險之前，減少轉賬，或者做好以下幾點—— 硬件錢包用戶：如果開啟了清晰簽名（clear signing），並逐筆核對地址，就能避免風險。 軟件錢包用戶：短期內儘量避免鏈上轉賬，或者至少要暫停更新/使用可疑的 JS 包。 開發者應立即檢查依賴版本，並回滾到安全版本或臨時鎖定依賴。