⚠️NPM 生态大规模投毒：你的钱包可能已被盯上！

注意：NPM发生了一起严重的供应链攻击事件——

攻击者通过钓鱼手段入侵 全球最大的 JS 包管理平台 NPM 上几个知名包（如 chalk、debug 等）的维护者账号，然后在这些包里注入了恶意代码。

因为这些包是整个 JavaScript 生态里最常用的工具，每周下载量超过 20 亿次，所以影响面极大。

这次是 NPM 生态里史上最大规模的供应链攻击之一，黑客利用维护者账号在常用包里注入恶意代码，专门针对 Web3/加密钱包用户，通过浏览器劫持来“无声盗币”。

这个意思就是：你所交互的项目、软件钱包、浏览器插件等，都可能因使用了这个版本的恶意库而存在风险。

1️⃣ 攻击范围

被植入恶意代码的包包括：chalk、debug、ansi-styles、supports-color 等 18 个高频使用的依赖。

这些库是很多前端、后端和 CLI 工具的基础组件，几乎整个 JS 生态都可能受影响。

2️⃣恶意代码的功能

浏览器劫持：注入到 fetch、XMLHttpRequest、window.ethereum 等 API。

扫描敏感数据：检测交易请求、钱包地址（支持 ETH、BTC、Solana、Tron、LTC、BCH 等多链格式）。

地址替换：把用户输入或应用调用中的合法收款地址，替换成攻击者控制的钱包地址。

交易劫持：即使用户看到的界面是正确的，签名时实际交易会被篡改，把资金转给黑客。

隐蔽性：替换成“相似地址”，让用户难以察觉；避免在界面层做太明显的修改。

3️⃣受害风险

所有依赖这些包的 Web3 应用、网站和钱包插件，都可能被间接感染。

用户在浏览器里使用钱包时，可能在不知情的情况下，把资金批准或转账到黑客账户。

4️⃣核心：安全建议

建议在各大平台、钱包与开发团队自查并排除风险之前，减少转账，或者做好以下几点——

硬件钱包用户：如果开启了清晰签名（clear signing），并逐笔核对地址，就能避免风险。

软件钱包用户：短期内尽量避免链上转账，或者至少要暂停更新/使用可疑的 JS 包。

开发者应立即检查依赖版本，并回滚到安全版本或临时锁定依赖。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。