Riguardo a questo attacco alla supply chain di npm: Il manutentore di npm, qix, è stato vittima di un attacco di social engineering mirato, cliccando su una falsa email di reset 2fa che ha portato a una fuga di autorizzazioni. Gli aggressori hanno poi utilizzato il suo account per pubblicare una nuova versione con un backdoor, colpendo librerie fondamentali come chalk e debug. Questo attacco ha avuto un ampio impatto. In primo luogo, è stato molto subdolo. La prima parte manteneva le normali funzionalità, senza generare errori immediati. Il payload è stato offuscato, rendendo difficile la scoperta tramite audit statici. Gli hacker hanno persino hookato fetch, XMLHttpRequest e ethereum.request, ingannando anche gli strumenti di debug. In secondo luogo, l'effetto dell'attacco è stato devastante. La sostituzione degli indirizzi non è stata casuale, ma calcolata utilizzando la distanza di Levenshtein per trovare l'indirizzo dell'aggressore più vicino, rendendo quasi impossibile la distinzione per l'utente. È stato anche adattato per i router dex, quindi la maggior parte degli swap potrebbe essere stata compromessa; la risposta restituita era comunque un falso successo, facendo credere a sviluppatori e utenti che la transazione fosse andata a buon fine, mentre in realtà i fondi erano già stati trasferiti. Se non fosse stato per la conferma secondaria dell'hardware wallet nell'ultima fase, molte persone potrebbero non aver mai saputo come siano scomparsi i loro soldi. Se stai usando il wallet onekey app: non sei affatto colpito. Se stai usando il wallet onekey app + onekey hardware: sei più al sicuro, e non sei affatto colpito. Se stai usando onekey hardware + app di altri fornitori: assicurati di confermare nuovamente indirizzo e importo sullo schermo dell'hardware. La verifica sull'hardware è l'ultima linea di difesa, e può salvarti in momenti critici. Non fidarti delle informazioni visualizzate su pagine web o plugin, fino a quando non ci sono rapporti ufficiali o misure di riparazione. Fine.