关于这次 npm 供应链投毒： npm 维护者 qix 被精准社工，点了伪造的 2fa 重置邮件导致权限泄露。攻击者随后用他的账号发了带后门的新版本，中招的包括 chalk、debug 这种顶级基础库。 这次攻击影响面很大。 首先隐蔽性强。前半段保留正常功能，不会立即报错。payload 做了混淆，静态审计也很难发现。黑客甚至 hook 了 fetch、XMLHttpRequest、ethe