Scam Sniffer披露,知名开发者qix因遭遇钓鱼攻击导致npm软件包chalk、strip-ansi、color-convert被植入恶意代码,攻击手段包含挂钩钱包功能、篡改ETH/SOL交易收款地址及替换网络响应中的地址。官方建议用户严格核对钱包界面收款人与金额、检查粘贴后地址变动、复查近期交易记录,高价值操作应优先采用硬件钱包。Ledger CTO Charles Guillemet指出,相关软件包累计下载量突破10亿次,整个JavaScript生态系统或面临系统性风险。该恶意代码可在链上交易时静默替换加密地址窃取资金,硬件钱包用户可通过验证交易签名规避风险,非硬件钱包用户建议暂缓链上操作,目前尚无证据表明助记词已被窃取。
