新京报讯 据国家网络安全通报中心消息，监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷了npm官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及300余个独立程序包的600余个恶意版本，影响多个热门开源项目。当开发者安装恶意依赖包后，程序会自动在本地主机、CI/CD流水线环境执行恶意代码，窃取GitHub Token、np ...

本文最初发布于 RedMonk。 最近，JavaScript 软件包管理领域发生了重大变化。虽然 npm 仍是 Node.js 运行时环境中使用的 JavaScript 软件包注册中心和管理器，但值得讨论的是，对于 JavaScript 代码交付这个更大的问题，这些变化有什么影响。具体来说，我想到了最近出现 ...

快科技5月25日消息，今日，国家网络安全通报中心发文称，监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。

据国家网络安全通报中心，监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷了npm官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及300余个独立程序包的600余个恶意版本，影响多个热门开源项目。

导语：GitHub 宣布收购 npm ，微软的开源全家桶又多一个鸡腿，JavaScript 生态尽归微软。 2020 年 3 月 16 日，全球开源社区爆出大新闻：GitHub 宣布收购 npm 。 npm 是啥？JavaScript 世界的软件包管理器。它的体量有多大？大约有 1200 万开发人员使用，共提供了 130 万个 ...

上周六，一个很小的 JavaScript 库的更新使得大部分 JavaScript 生态系统陷入了混乱。据 ZDNet 指出，大约有数百万个项目在这一事件中受到了影响。而令人感到震惊地是，引起整个混乱的仅仅是一个“单行代码（one-liner） ” 的 JavaScript 库。 这也是第二次发生由 ...

Axios库遭黑客劫持，npm被植入远程木马！恶意版本axios@1.14.1/0.30.4通过虚假依赖执行后门脚本，窃取系统权限。立即检查版本 ...

今年不到半年时间，npm已经连续爆出多起重量级供应链攻击。 前段时间 axios被投毒， 随后 TanStack大面积污染， 而就在昨天，又连续爆出两起重量级供应链攻击： 大量 @antv相关 npm 包被植入恶意代码，涉及数百个包、数百个恶意版本。 恶意代码就会自动运行。 它还会尝试利用窃取到的 npm / GitHub权限继续传播恶意包。 是否存在最近升级的 AntV 相关异常版本。 相关访问 ...