Spiegazione dell'attuale hack npm In qualsiasi sito web che utilizza questa dipendenza compromessa, si offre la possibilità all'hacker di iniettare codice malevolo, quindi, ad esempio, quando clicchi su un pulsante "swap" su un sito web, il codice potrebbe sostituire la transazione inviata al tuo wallet con una transazione che invia denaro all'hacker. Ma nel tuo wallet vedresti comunque la transazione negativa e dovresti approvarla, non è che verrai svuotato istantaneamente. Inoltre, questo impatterà solo i siti web che hanno pubblicato un aggiornamento da quando è stato pubblicato il pacchetto npm compromesso, poiché altri progetti utilizzeranno la vecchia versione. E la maggior parte dei progetti fissa le proprie dipendenze, quindi anche se pubblicano un aggiornamento continueranno a utilizzare il vecchio codice sicuro. Quindi il tuo wallet è al sicuro e l'area di impatto effettiva è molto più piccola di "tutti i siti web", ma poiché non puoi davvero sapere se un progetto ha fissato le dipendenze, o se hanno qualche dipendenza scaricata dinamicamente (molto improbabile), è semplicemente più sicuro evitare di utilizzare siti web di criptovalute finché questa situazione non si risolve e non ripuliscono i pacchetti malevoli.