国家网络与信息安全信息通报中心通报：主流JavaScript软件包管理平台npm遭供应链投毒攻击 ...

中新经纬5月25日电 微信号“国家网络安全通报中心”25日发文称，主流JavaScript软件包管理平台npm遭供应链投毒攻击。监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”(Shai-Hulud) ...

“我认为它的意义非凡，尤其对企业人工智能而言。” “这个功能有可能会像MCP和skill一样火。” 如果你最近更新了Claude Code（v2.1.147 或 v2.1.148），你可能会注意到官方变更日志里曾短暂出现过、又迅速被抹去的神秘字眼。

由于恶意软件具备蠕虫式传播能力，可自动重新发布受害者维护的其他软件包，因此共享开发环境的其他用户，以及依赖同一维护者发布软件包的用户，也可能面临间接感染风险。 二是排查依赖文件。

由 Evan You 创建的热门前端构建工具 Vite 发布 8.0 版本，此次更新带来了自 Vite 2 以来最重大的架构变革：从双打包器架构全面迁移至一个基于 Rust 的统一打包器 Rolldown 。 从最早的版本开始，Vite 就依赖于两个独立的打包工具：esbuild 用于快速开发编译，Rollup ...

微软近期发布云原生应用框架 Aspire 13.3 版本，引入了多项面向部署、可观测性和更多语言支持的核心功能，同时也带来了一些重大变更，开发者在版本升级前仔细查阅相关变动说明。 核心新增功能之一是新的 命令，用于销毁此前由 aspire ...

研究人员在vm2 JavaScript沙箱库中发现13个严重漏洞，攻击者可借此突破容器限制并在宿主系统执行任意命令。其中CVE-2026-26956可在特定Node.js 25与WebAssembly组合环境下完全逃逸沙箱，CVE-2026-44007则通过nesting:true配置选项触发权限控制缺陷。安全研究人员建议开发者立即升级至vm2 3.11.2版本，并考虑将不可信代码迁移至Docke ...

Grab 目前以新加坡为总部，在东南亚8个国家的428个城市开展业务。除了 GrabCar 等主要服务外，该公司还在其他市场提供不同的服务，以迎合当地人的需求。例如，GrabBike 在摩托车普及的国家提供共享摩的服务，如印尼、泰国和越南。与此同时，在柬埔寨，客户可以订购 Grab Remorque——即该公司针对柬埔寨传统交通工具 tuk-tuk ...

IT之家5 月 6 日消息，当地时间 5 月 5 日，Node.js 团队发布了最新的 Node.js 26.0.0 版本（Current），Node.js 26 将于 10 月进入 LTS（长期支持）阶段。 IT之家附主要更新内容如下： Temporal API：Temporal API 现在在 Node.js 26 中默认启用。Temporal 是一个用于 JavaScript 的现代日期 ...

流行的vm2 Node.js库近日披露一个高危沙箱逃逸漏洞，攻击者成功利用该漏洞可在底层操作系统上执行任意代码。该漏洞编号为CVE-2026-22709，CVSS评分为9.8分（满分10分）。 漏洞技术细节 vm2维护者Patrik Simek表示："在vm2 3.10.0版本中，Promise.prototype.then和Promise.prototype ...

在宣布此次收购的同时，Anthropic 也表示，今年 11 月，Claude Code 在面向公众开放仅 6 个月后，就实现了年化营收突破 10 亿美元的里程碑。 当地时间 12 月 2 日，Anthropic 宣布收购了热门开发者工具初创公司 ...

IT之家10 月 16 日消息，当地时间 10 月 15 日，Node.js 团队发布了最新的 Node.js 25.0.0 正式版本。本次更新重点聚焦性能优化、安全模型强化以及与 Web 标准的进一步接轨。 Node.js 25 升级至 V8 14.1 引擎，从而带来了显著的性能提升，尤其是在 JSON.stringify () 操作上。