Explicación del actual hack de npm En cualquier sitio web que utilice esta dependencia hackeada, se le da la oportunidad al hacker de inyectar código malicioso, así que, por ejemplo, cuando haces clic en un botón de "intercambio" en un sitio web, el código podría reemplazar la transacción enviada a tu billetera con una transacción que envía dinero al hacker. Pero en tu billetera aún verías la mala transacción y necesitarías aprobarla, no es como si te drenaran instantáneamente. Además, esto solo impactará a los sitios web que hayan lanzado una actualización desde que se publicó el paquete npm hackeado, ya que otros proyectos tendrán la versión antigua. Y la mayoría de los proyectos fijan sus dependencias, así que incluso si lanzan una actualización, seguirán utilizando el antiguo código seguro. Así que tu billetera está segura y el área de impacto efectiva es mucho más pequeña que "todos los sitios web", pero dado que realmente no puedes saber si un proyecto fijó sus dependencias, o si tienen alguna dependencia descargada dinámicamente (muy poco probable), es más seguro evitar usar sitios web de criptomonedas hasta que esto se calme y limpien los paquetes dañinos.

Explicación del actual hack de npm En cualquier sitio web que utilice esta dependencia hackeada, se le da la oportunidad al hacker de inyectar código malicioso, así que, por ejemplo, cuando haces clic en un botón de "intercambio" en un sitio web, el código podría reemplazar la transacción enviada a tu billetera con una transacción que envía dinero al hacker. Pero en tu billetera aún verías la mala transacción y necesitarías aprobarla, no es como si te drenaran instantáneamente. Además, esto solo impactará a los sitios web que hayan lanzado una actualización desde que se publicó el paquete npm hackeado, ya que otros proyectos tendrán la versión antigua. Y la mayoría de los proyectos fijan sus dependencias, así que incluso si lanzan una actualización, seguirán utilizando el antiguo código seguro. Así que tu billetera está segura y el área de impacto efectiva es mucho más pequeña que "todos los sitios web", pero dado que realmente no puedes saber si un proyecto fijó sus dependencias, o si tienen alguna dependencia descargada dinámicamente (muy poco probable), es más seguro evitar usar sitios web de criptomonedas hasta que esto se calme y limpien los paquetes dañinos.