当前 npm 黑客攻击的解释 在任何使用此被黑依赖的网站上，黑客都有机会注入恶意代码，例如，当你在网站上点击 "交换" 按钮时，代码可能会将发送到你钱包的交易替换为发送给黑客的交易 但在你的钱包中，你仍然会看到这个坏交易并需要批准它，并不是说你会立即被掏空 此外，这只会影响自被黑 npm 包发布以来推送了更新的网站，因为其他项目将使用旧版本 大多数项目会固定他们的依赖项，因此即使他们推送了更新，他们仍会继续使用旧的安全代码 所以你的钱包是安全的，实际影响的范围远小于 "所有网站"，但由于你无法真正知道一个项目是否固定了依赖项，或者他们是否有一些动态下载的依赖项（非常不可能），因此在这件事情平息并清理掉坏包之前，避免使用加密网站是更安全的。