Объяснение текущего взлома npm На любом сайте, использующем эту взломанную зависимость, хакер получает возможность внедрить вредоносный код. Например, когда вы нажимаете кнопку "обменять" на сайте, код может заменить транзакцию, отправляемую на ваш кошелек, на транзакцию, отправляющую деньги хакеру. Но в вашем кошельке вы все равно увидите плохую транзакцию и должны будете ее одобрить, это не значит, что ваши средства мгновенно будут украдены. Более того, это повлияет только на сайты, которые выпустили обновление с момента публикации взломанного пакета npm, так как другие проекты будут использовать старую версию. Большинство проектов фиксируют свои зависимости, поэтому даже если они выпустят обновление, они продолжат использовать старый безопасный код. Таким образом, ваш кошелек в безопасности, и фактическая зона воздействия гораздо меньше, чем "все сайты", но поскольку вы не можете точно знать, зафиксированы ли зависимости в проекте или есть ли у них какие-то динамически загружаемые зависимости (что маловероятно), безопаснее избегать использования крипто-сайтов, пока это не утихнет и они не очистят плохие пакеты.