The Hacker News

Packagist Supply Chain Attack Infects 8 Packages Using GitHub-Hosted Linux Malware

Packagist packages hid malicious package.json scripts, enabling Linux binary execution during installs and workflows.

Perplexity launches Bumblebee: How its new read-only dev scanner differs from Chainguard

Perplexity launches Bumblebee: How its new read-only dev scanner differs from Chainguard ...
腾讯网

19.8万 Star!Anthropic黑客松冠军开源CodeAgent Harness优化系统,一键调用 ...

通俗地说,就是给 AI Agent 套上一层“操作系统”,把分散在各个 AI 编程工具中的技能体系、长期记忆、安全规则、工作流程和自动化机制,直接收敛成一套可复用的完整工作规范。它支持Codex、Claude Code、Cursor、OpenCode ...
51CTO

Npm 又炸了!314 个包被投毒,前端开发者正在被“信任链”反噬

314 个 npm 包被投毒,看起来像一个安全事件。但更现实的结论是: npm 最大的风险,从来不是漏洞本身,而是“信任机制”。 npm 又出事了。 但这一次,不是某个冷门库被塞了挖矿脚本。 也不是某个开发者误发了测试版本。 而是一种更隐蔽、更难防的攻击方式 ...

npm 生态遭大范围投毒:TanStack、Mistral AI、UiPath 等受波及,可窃取云 ...

IT之家5 月 12 日消息,网络安全检测机构 Socket 于当地时间 5 月 11 日发出警报,在开源工具库 TanStack 旗下约 84 个 NPM 软件包的恶意版本中发现疑似凭证窃取恶意代码。 受影响软件包覆盖 42 个 @tanstack/* 命名空间下的项目,其中 @tanstack / react-router 的周下载量超 1200 万次,此类工具包在 NPM 生态中被广泛直接或 ...