Hey，区块链开发者和 meme 代币爱好者——如果你正埋头开发 DApp 或摆弄基于 Ethereum 的项目，先停下手头的一切，立刻检查

🔍 ​文章内容规划​
- 该 X 帖子讨论了 npm 包 "error-ex" v1.3.3 的安全问题，恶意代码针对 Ethereum。​
你的依赖。加密评论员和宏观分析师 MartyParty (@martypartymusic) 刚在 X 上发出震撼的安全提示：npm 生态中潜伏着一起狡猾的供应链攻击。它不是遥远的威胁；攻击目标是一个每周被数百万次下载的包，可能在无声无息中抽走你的资金。

简单说明下根源。凶手是 error-ex 包的 v1.3.3，这是一个在 Node.js 项目中常用的错误处理 JavaScript 库。表面上看它无害——但深入代码就会发现高度混淆的恶意代码，专门检测 Ethereum 环境并窃取你的加密资产。把它想像成你构建流水线中的木马，随时准备把钱包数据外传到攻击者的服务器。

上面那张表（来自推文）画出了一幅可怕的图景：仅在过去 7 天内，v1.3.3 就有超过 44.2 万次下载，而安全的 v1.3.2 则高达 4600 万次。这意味着影响范围极广——从独立的 meme coin 启动者到大型 DeFi 协议，任何使用 React 或其他 JS 框架构建区块链前端的项目都有可能暴露。

这是怎么被发现的？根据一个偶然发现该问题的开发团队在 Substack 上的详细帖文，警报是在一次常规构建时响起的。他们的 CI/CD 流水线抛出了一个奇怪的错误："fetch is not defined." 原来，恶意代码在尝试发起网络调用以外传被窃取的数据，但他们较旧的 Node.js 环境没有全局的 fetch 函数，导致代码崩溃而不是悄悄成功。剥开混淆层可以看到隐藏的垃圾代码中有一个明显的函数名 checkethereumw——这是明确的迹象，说明它在针对 EVM 链（例如 Ethereum、Polygon，甚至若被改写也可能影响 Solana）。

恶意软件的目的是什么？判断自己是否运行在一个熟悉加密的环境中（比如使用 web3.js 或 ethers.js 的 DApp），然后悄悄收集私钥或交易数据。在配有新版 Node.js 的现代环境中，这种行为可能不被发现，进而危及数千个项目。MartyParty 的线程强调这是针对 Ethereum 的，但警告也指出它可能影响任何 EVM 兼容链，敦促开发者立即核查并回滚。

好消息是？问题可修复，受影响的版本已被从 GitHub 上移除。但鉴于 error-ex 整体每周有 4700 万次下载，部分项目可能已经受损。下面是让你的堆栈免疫的行动计划：

1. 回滚（Rollback）立即执行：将你的依赖固定到 error-ex v1.3.2。在你的 package.json 中添加一个 overrides 段，如下：

   "overrides": {
   "error-ex": "1.3.2"
   }

   然后删除你的 node_modules 和 package-lock.json，重新运行 npm install。

2. 保护你的构建：在流水线中使用 npm ci 替代 npm install。它会强制遵循 lockfile 中的精确版本，阻止潜在的偷偷更新。

3. 像专家一样审计：定期运行 npm audit，并集成 Snyk 或 Dependabot 等工具进行持续扫描。始终在 PR 中审查 lockfile 的改动——如果某个传递依赖意外升级，立即标记审查。

4. 给 meme token 开发者的更广泛教训：在 meme coin 的世界里，速度往往优先于安全，这次是一个警钟。类似的供应链攻击（想想 SolarWinds）能比 rug pull 更快地抹去收益。如果你的项目依赖 JS 来处理钱包或 DEX 界面，请把一切都再核查一遍。顺便说一句，如果你在 EVM 上开发，考虑审计整个依赖树——像 npm ls error-ex 这样的工具可以显示它是否潜伏其中。

MartyParty 的提醒引发了大量回复，既有 Solana 开发者暂时松了口气的声音，也有呼吁 npm 加强审查的呼声。查看完整线程 here 并深入阅读这篇 Substack 文章。error-ex 的 NPM 页面 现在也标记了该问题。

保持警惕，朋友们——在加密领域，你的代码就是你的城堡，这些 npm 小妖精正在敲门。如果你已遭受攻击或发现可疑情况，在评论里留言。让我们通过一次次回滚，一点点守护 meme 经济的安全。