Wyjaśnienie obecnego hacku npm Na każdej stronie internetowej, która używa tej zhakowanej zależności, haker ma możliwość wstrzyknięcia złośliwego kodu, więc na przykład, gdy klikniesz przycisk "swap" na stronie, kod może zastąpić transakcję wysyłaną do twojego portfela transakcją wysyłającą pieniądze do hakera. Jednak w twoim portfelu nadal zobaczysz złą transakcję i będziesz musiał ją zatwierdzić, nie jest tak, że natychmiast zostaniesz okradziony. Ponadto, to wpłynie tylko na strony internetowe, które wprowadziły aktualizację od momentu publikacji zhakowanego pakietu npm, ponieważ inne projekty będą miały starą wersję. Większość projektów blokuje swoje zależności, więc nawet jeśli wprowadzą aktualizację, będą nadal używać starego, bezpiecznego kodu. Więc twój portfel jest bezpieczny, a rzeczywisty obszar wpływu jest znacznie mniejszy niż "wszystkie strony internetowe", ale ponieważ nie możesz naprawdę wiedzieć, czy projekt zablokował zależności, czy mają jakąś dynamicznie pobraną zależność (bardzo mało prawdopodobne), lepiej jest unikać korzystania z witryn kryptowalutowych, dopóki sytuacja się nie uspokoi i nie usuną złych pakietów.

Wyjaśnienie obecnego hacku npm Na każdej stronie internetowej, która używa tej zhakowanej zależności, haker ma możliwość wstrzyknięcia złośliwego kodu, więc na przykład, gdy klikniesz przycisk "swap" na stronie, kod może zastąpić transakcję wysyłaną do twojego portfela transakcją wysyłającą pieniądze do hakera. Jednak w twoim portfelu nadal zobaczysz złą transakcję i będziesz musiał ją zatwierdzić, nie jest tak, że natychmiast zostaniesz okradziony. Ponadto, to wpłynie tylko na strony internetowe, które wprowadziły aktualizację od momentu publikacji zhakowanego pakietu npm, ponieważ inne projekty będą miały starą wersję. Większość projektów blokuje swoje zależności, więc nawet jeśli wprowadzą aktualizację, będą nadal używać starego, bezpiecznego kodu. Więc twój portfel jest bezpieczny, a rzeczywisty obszar wpływu jest znacznie mniejszy niż "wszystkie strony internetowe", ale ponieważ nie możesz naprawdę wiedzieć, czy projekt zablokował zależności, czy mają jakąś dynamicznie pobraną zależność (bardzo mało prawdopodobne), lepiej jest unikać korzystania z witryn kryptowalutowych, dopóki sytuacja się nie uspokoi i nie usuną złych pakietów.