你没说重点呀，重点是包维护者被钓鱼邮件欺骗了。 关键内容： The maintainer shared that he was compromised by the use of phishing, using this email coming from support [at] npmjs [dot] help

@proxytoworld 据说是包的作者点了链接

这就跟央视宣传别随便扫二维码一样，跟二维码有什么关系啊。。。

内容说了 有 npm 包开发者 点击了钓鱼邮件里面假的 npm 网址 在假的 npm 网站进行登录 导致账号被盗了

这跟点不点连接几乎毫无关系，你点一万个连接，不在打开的网页里输入敏感信息/下载可疑软件都不会有事，是被钓鱼了