本文最初发布于 RedMonk。 最近，JavaScript 软件包管理领域发生了重大变化。虽然 npm 仍是 Node.js 运行时环境中使用的 JavaScript 软件包注册中心和管理器，但值得讨论的是，对于 JavaScript 代码交付这个更大的问题，这些变化有什么影响。具体来说，我想到了最近出现 ...

2026年5月25日，国家网络安全通报中心发布：监测发现，全球主流Java软件包管理平台npm遭“沙虫” ...

导语：GitHub 宣布收购 npm ，微软的开源全家桶又多一个鸡腿，JavaScript 生态尽归微软。 2020 年 3 月 16 日，全球开源社区爆出大新闻：GitHub 宣布收购 npm 。 npm 是啥？JavaScript 世界的软件包管理器。它的体量有多大？大约有 1200 万开发人员使用，共提供了 130 万个 ...

快科技5月25日消息，今日，国家网络安全通报中心发文称，监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。 据通报，攻击者攻陷了npm官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及300余个独立程序包的600余个恶意版本，影响多个热门开源项目。 当开发者安装恶意依赖包后，程序会自动在本地主机、CI/CD流水线环境执行恶意代码，窃取 ...

GitHub 今天表示， 团队已经修复了 NPM（Node Package Manager）JavaScript 注册表中一个长期存在的问题 ，该问题将允许攻击者在没有适当授权的情况下更新任何软件包。 首席安全官 Mike Hanley 昨天发布了这个问题，这个问题是由安全研究人员 Kajetan Grzybowski 和 Maciej Piechota ...

（原标题：国家网络安全通报中心：主流JavaScript软件包管理平台npm遭供应链投毒攻击） 人民财讯5月25日电，国家网络安全通报中心监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷了npm官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及300余个独立程序包的600余个恶意版本，影响多个热门开源项目。当开发者安装恶意 ...