⚠️NPM 生态大规模投毒：你的钱包可能已被盯上！ 注意：NPM发生了一起严重的供应链攻击事件—— 攻击者通过钓鱼手段入侵 全球最大的 JS 包管理平台 NPM 上几个知名包（如 chalk、debug 等）的维护者账号，然后在这些包里注入了恶意代码。 因为这些包是整个 JavaScript 生态里最常用的工具，每周下载量超过 20 亿次，所以影响面极大。 这次是 NPM 生态里史上最大规模的供应链攻击之一，黑客利用维护者账号在常用包里注入恶意代码，专门针对 Web3/加密钱包用户，通过浏览器劫持来“无声盗币”。 这个意思就是：你所交互的项目、软件钱包、浏览器插件等，都可能因使用了这个版本的恶意库而存在风险。 1️⃣ 攻击范围 被植入恶意代码的包包括：chalk、debug、ansi-styles、supports-color 等 18 个高频使用的依赖。 这些库是很多前端、后端和 CLI 工具的基础组件，几乎整个 JS 生态都可能受影响。 2️⃣恶意代码的功能 浏览器劫持：注入到 fetch、XMLHttpRequest、window.ethereum 等 API。 扫描敏感数据：检测交易请求、钱包地址（支持 ETH、BTC、Solana、Tron、LTC、BCH 等多链格式）。 地址替换：把用户输入或应用调用中的合法收款地址，替换成攻击者控制的钱包地址。 交易劫持：即使用户看到的界面是正确的，签名时实际交易会被篡改，把资金转给黑客。 隐蔽性：替换成“相似地址”，让用户难以察觉；避免在界面层做太明显的修改。 3️⃣受害风险 所有依赖这些包的 Web3 应用、网站和钱包插件，都可能被间接感染。 用户在浏览器里使用钱包时，可能在不知情的情况下，把资金批准或转账到黑客账户。 4️⃣核心：安全建议 建议在各大平台、钱包与开发团队自查并排除风险之前，减少转账，或者做好以下几点—— 硬件钱包用户：如果开启了清晰签名（clear signing），并逐笔核对地址，就能避免风险。 软件钱包用户：短期内尽量避免链上转账，或者至少要暂停更新/使用可疑的 JS 包。 开发者应立即检查依赖版本，并回滚到安全版本或临时锁定依赖。