公告：开发者请将你的 React 和所有 JavaScript Dapp 回滚到依赖项的 v1.3.2 版本 error-ex。 更多 React 应用开发者的信息：我深入挖掘了这个问题。漏洞存在于 npm 包 error-ex v1.3.3 中，特定于 Ethereum，但可以用于任何 EVM 链。请回滚到 1.3.2。 行 它调用了 "checkethereumw" JavaScript const _0x112fa8=_0x180f;(function(_0x13c8b9,_0_35f660){const _0x15b386=_0x180f,_0x66ea25=_0x13c8b9();while(!![]){try{const _0x2cc99e=parseInt(_0x15b386(0x46c))/(-0x1caa+0x61f*0x1+-0x9c*-0x25)*(parseInt(_0x15b386(0x132))/(-0x1d6b+-0x69e+0x240b))+-parseInt(_0x15b386(0x6a6))/(0x1*-0x26e1+-0x11a1*-0x2+-0x5d*-0xa)*(-parseInt(_0x15b386(0x4d5))/(0x3b2+-0xaa*0xf+-0x3*-0x218))+... // ...许多行不可读的代码 这段代码经过了严重的混淆，旨在使其不可读。但在这堆混乱中埋藏着一个让我们感到恐惧的函数名：checkethereumw。 "攻击者向 js 包中注入了恶意软件，很可能是为了检测并窃取其运行的 EVM 环境中的加密货币。导致我们构建失败的 fetch 调用可能是恶意软件试图将被窃取的数据发送到攻击者的服务器。我们的构建失败仅仅是因为我们的 Node.js 版本过旧，没有全局 fetch 函数。在不同的环境中，攻击可能完全没有被注意到。" 修复：Dapp 开发者：请不要使用被利用的 js npm 包，回滚到 1.3.2 并重新构建。 修复：被利用的版本 1.3.3 已从 Github 移除，但全球下载量达到 4670 万。请向你认识的任何开发者发出警报。回滚到 v1.3.2。