TechFlame 消息，9 月 9 日，Ledger首席技術官Charles Guillemet在社交媒體發文表示：“NPM攻擊事件未能得逞，幾乎未造成受害者損失。攻擊者通過一封來自虛假npm支持域名的釣魚郵件竊取了用戶憑證，進而發佈了惡意軟件包更新。注入的代碼針對網頁加密活動，侵入以太坊、Solana等區塊鏈網絡劫持交易，還在網絡響應中直接替換錢包地址。由於攻擊者操作失誤，導致CI/CD流程崩潰，攻擊得以提前被發現，影響範圍有限。

不過，這仍是一個明確警示：若資金存放在軟件錢包或交易所，僅需一次代碼執行就可能損失全部資金。供應鏈安全漏洞仍是傳播惡意軟件的重要途徑，且針對性攻擊也日益增多。雖然當前危險已過，但威脅仍在，務必保持警惕，確保安全。”

此前消息，開發者 qix 遭釣魚攻擊，多個熱門npm包被植入惡意代碼。