關於這次 npm 供應鏈投毒： npm 維護者 qix 被精準社工，點了偽造的 2fa 重置郵件導致權限洩露。攻擊者隨後用他的賬號發了帶後門的新版本，中招的包括 chalk、debug 這種頂級基礎庫。 這次攻擊影響面很大。 首先隱蔽性強。前半段保留正常功能，不會立即報錯。payload 做了混淆，靜態審計也很難發現。黑客甚至 hook 了 fetch、XMLHttpRequest、ethereum.request，連調試工具都能被騙。 其次攻擊效果很致命。地址替換不是隨便亂換，而是用 levenshtein 距離算出最接近的攻擊者地址，用戶肉眼幾乎分辨不出。它還專門適配了 dex 路由器，大部分 swap 都可能被劫持；返回的還是偽造的成功響應，開發者和用戶都會以為交易沒問題，其實資金早被轉走了。 要不是硬件錢包在最後一跳能二次確認，很多人可能根本不知道錢是怎麼沒的。 如果你用的是 onekey app 錢包：完全不受影響。 如果你用的是 onekey app + onekey 硬件：更安全，同樣完全不受影響。 如果你用的是 onekey 硬件 + 其他廠商 app：務必在硬件屏幕上二次確認地址和金額。 硬件上的解析才是最終兜底，關鍵時刻能救命。不要輕信網頁或插件顯示，直到有官方的報告或修復措施。 以上。