关于这次 npm 供应链投毒： npm 维护者 qix 被精准社工，点了伪造的 2fa 重置邮件导致权限泄露。攻击者随后用他的账号发了带后门的新版本，中招的包括 chalk、debug 这种顶级基础库。 这次攻击影响面很大。 首先隐蔽性强。前半段保留正常功能，不会立即报错。payload 做了混淆，静态审计也很难发现。黑客甚至 hook 了 fetch、XMLHttpRequest、ethereum.request，连调试工具都能被骗。 其次攻击效果很致命。地址替换不是随便乱换，而是用 levenshtein 距离算出最接近的攻击者地址，用户肉眼几乎分辨不出。它还专门适配了 dex 路由器，大部分 swap 都可能被劫持；返回的还是伪造的成功响应，开发者和用户都会以为交易没问题，其实资金早被转走了。 要不是硬件钱包在最后一跳能二次确认，很多人可能根本不知道钱是怎么没的。 如果你用的是 onekey app 钱包：完全不受影响。 如果你用的是 onekey app + onekey 硬件：更安全，同样完全不受影响。 如果你用的是 onekey 硬件 + 其他厂商 app：务必在硬件屏幕上二次确认地址和金额。 硬件上的解析才是最终兜底，关键时刻能救命。不要轻信网页或插件显示，直到有官方的报告或修复措施。 以上。