开发者qix遭钓鱼攻击，多个热门npm包被植入恶意代码

深潮 TechFlow 消息，9 月 9 日，Scam Sniffer发文表示，知名开发者qix因钓鱼攻击导致npm软件包被注入恶意代码，相关包包括chalk、strip-ansi、color-convert等。攻击方式为挂钩钱包功能、篡改ETH/SOL交易收款地址及替换网络响应中的地址。用户建议：务必在钱包界面核对收款人和金额，检查粘贴后地址变化，复查近期交易，高价值操作优先使用硬件钱包。

Ledger CTO Charles Guillemet表示，相关软件包下载量超10亿次，这意味着整个JavaScript生态系统可能面临风险。恶意代码可在用户交易时悄然替换加密地址，窃取资金。硬件钱包用户可通过核查交易签名规避风险，建议非硬件钱包用户暂缓链上操作，目前是否窃取助记词尚不明确。