更新：所有受影响的 npm 包版本已被移除，且似乎这些被篡改的版本没有任何下载记录。 我们的调查发现，恶意脚本来源于一个独立项目，与 ENS Labs 的核心代码无关。该项目在安装 PostHog 依赖时运行了一个 postinstall 脚本，其中包含 Shai Hulud 恶意软件。受影响的开发环境已被断开连接，所有发布凭据正在进行更换。 我们也在加强我们的代码库和部署流程，以进一步降低未来供应链攻击的可能性。