NPM攻击：我成功入侵，但没有人获得我的用户数据

我刚刚发现这个针对JavaScript生态系统的大规模NPM供应链攻击，天哪，我真不敢相信这些黑客竟然想干这种事。每周超过20亿的应用下载可能处于风险之中！作为一个在多个平台上持有加密资产的人，听到这个消息时我真的是紧张得冒汗。

当我看到我的交易所没有受到影响时，我松了一口气。他们在X上发布了“没有客户数据或资产面临风险。”谢天谢地。在FTX灾难之后，我一直对交易所的安全感到偏执。

这次攻击相当复杂 - 这些黑客通过一封巧妙的钓鱼邮件侵入了一位名叫Josh Junon的可怜开发者。他们让他相信，除非他更新自己的2FA，否则他的账户将被锁定。经典手法，但有效。我不想承认我可能也会上当。

真正令人不安的是恶意代码的工作方式。它特别针对加密交易，监视比特币、以太坊、索拉纳等的钱包地址。一旦被检测到，它会悄悄地将目标地址替换为攻击者的钱包。真是阴险的家伙。

最令人惊讶的部分？到目前为止，只有$159 的加密货币被盗。这没什么！但不要让这愚弄你 - 随着这些被妥协的包的下载量达到数十亿，这可能是灾难性的。

CZ的评论真是切中要害："即使是开源软件如今也不安全。Web3将重新定义Web2的安全性。" 现在他已经处理完他的法律问题，这样说很容易，但他确实说到了要点。我们盲目信任如此多的基础设施，甚至都不去思考。

这整个麻烦正是我将大部分加密货币存放在冷钱包的原因。Web2安全性从根本上是破碎的，我们都只是坐等下一次攻击的猎物。