Explicação do hack atual do npm Em qualquer site que use essa dependência hackeada, ela dá a chance ao hacker de injetar código malicioso, então, por exemplo, quando você clica em um botão "trocar" em um site, o código pode substituir o tx enviado para sua carteira por um tx enviando dinheiro para o hacker Mas em sua carteira você ainda veria o tx ruim e precisaria aprová-lo, não é como se você fosse instantaneamente drenado Além disso, isso afetará apenas os sites que enviaram uma atualização desde que o pacote npm hackeado foi publicado, pois outros projetos terão a versão antiga E a maioria dos projetos fixa suas dependências, portanto, mesmo que enviem uma atualização, continuarão usando o código seguro antigo Portanto, sua carteira está segura e a área de impacto efetiva é muito menor do que "todos os sites", mas como você não pode realmente saber se um projeto fixou dependências ou se eles têm alguma dependência baixada dinamicamente (muito improvável), é mais seguro evitar o uso de sites de criptografia até que isso acabe e eles limpem os pacotes ruins