npm软件包遭恶意代码注入，Scam Sniffer与Ledger警示安全风险

9月9日，Scam Sniffer披露，知名开发者qix因遭遇钓鱼攻击，其维护的npm软件包chalk、strip-ansi及color-convert被植入恶意代码。攻击手段涉及劫持钱包功能、篡改ETH/SOL交易收款地址以及替换网络响应中的地址。官方提醒用户：需在钱包界面核对收款人与金额，检查粘贴后的地址变动，复查近期交易记录，高价值转账建议优先采用硬件钱包。Ledger首席技术官Charles Guillemet指出，受感染软件包累计下载量已突破10亿次，可能导致整个JavaScript生态系统面临安全威胁。该恶意代码可在交易过程中静默替换加密地址以窃取资金。硬件钱包用户可通过验证交易签名规避风险，非硬件钱包持有者建议暂停链上操作。目前尚无证据表明助记词已被窃取。