知名开发者qix因钓鱼攻击导致npm软件包chalk、strip-ansi及color-convert被注入恶意代码,攻击手段涉及挂钩钱包功能、篡改ETH/SOL交易收款地址以及替换网络响应中的地址。Scam Sniffer建议用户在钱包界面严格核对收款人与金额,监控粘贴后地址变动,复查近期交易记录,并推荐高价值操作优先采用硬件钱包。Ledger首席技术官Charles Guillemet警告称,受感染软件包累计下载量突破10亿次,暴露JavaScript生态系统整体风险。恶意代码可在交易过程中静默替换加密地址以窃取资金,硬件钱包用户可通过验证交易签名规避风险,建议非硬件钱包用户暂停链上操作,当前尚未确认是否涉及助记词窃取。
