Resumo: hack do npm; Explorar as dependências do site alvo para injetar um endereço de carteira (diferente/malicioso) para transações. Até onde sabemos, as chaves estão seguras e os fundos estão safu (a menos que sejam solicitados/assinados em um site malicioso). A realidade é que há provavelmente (relativamente) poucos sites comprometidos, mas como (você/consumidor) não pode verificar facilmente se um projeto/site usa essas dependências, é melhor prevenir do que remediar e esperar que isso passe/ seja 'marcado como seguro' em relação à exploração.