Кратко: взлом npm; Эксплуатируйте зависимости целевого сайта, чтобы внедрить (другой/вредоносный) адрес кошелька назначения для транзакций. Насколько нам известно, ключи в безопасности, а средства защищены (если не запрашиваются/не подписываются на вредоносном сайте). На самом деле, вероятно, относительно немного скомпрометированных сайтов, но поскольку (вы/потребитель) не можете легко проверить, использует ли проект/сайт эти зависимости, лучше перестраховаться и подождать, пока это не утихнет/"не будет отмечено как безопасное" от эксплуатации.