2026 年 3 月 31 日，npm 生态系统遭遇了最严重的供应链攻击之一：Axios这个每周下载量超过 1 亿次的 HTTP 客户端库的两个版本被发现包含一个完全可用的远程访问木马。受影响的版本 axios@1.14.1 和 axios@0.30 ...

网络安全研究人员在npm注册表中发现了36个恶意包，这些包伪装成Strapi CMS插件，但携带不同的有效载荷，用于Redis和PostgreSQL利用、部署反向Shell、收集凭据并投放持久化植入程序。

2026年3月31日，两个恶意版本的流行JavaScript HTTP库Axios被短暂发布到npm仓库。这两个版本均包含隐藏依赖项，可在macOS、Windows和Linux系统上安装远程访问木马（RAT）。此次攻击并未利用Axios代码本身的漏洞 ...

开源软件运行着几乎所有系统，但多数重要程序仅由单个维护者负责。在1180万个开源项目中，700万个只有一个维护者。最近AI编程工具显著改进，Linux内核维护者等专家注意到AI生成的安全报告质量大幅提升。虽然AI仍无法完全替代程序员，但已能帮助清理旧代码、维护废弃程序和改进现有代码。然而仍存在法律争议、代码质量和维护问题需要解决。

Anthropic旗下专有的 Claude Code 命令行工具（CLI）完整 TypeScript 源码，疑似因 npm 包配置失误，经由其 npm 注册表意外泄露。 事件最早由安全研究员邵超凡（Chaofan Shou）披露，他在社交平台 X 上发文称，“Claude Code 源代码通过其 npm 注册表中的 map 文件泄露”，并指向一份可直接下载的源码压缩包链接，该压缩包托管在 Anth ...

安全研究机构StepSecurity近日披露，知名Java库Axios的两个npm版本——axios@1.14.1和axios@0.30.4，遭黑客植入恶意代码。此次攻击通过劫持核心维护者“jasonsaayman”的npm账号实施，黑客将账号邮箱替换为匿名ProtonMail地址后，绕过GitHub ...

IT之家5 月 9 日消息，Node.js，这一广受欢迎的开源跨平台 JavaScript 运行环境，正式发布了 24.0 版本，新版本承诺带来更强的性能、更高的安全性以及更顺畅的开发体验。 Node.js 24.0 的亮点之一是 V8 JavaScript 引擎升级至 13.6 版本，引入了 Float16Array、显式资源管理 ...

本文最初发布于 RedMonk。 最近，Java 软件包管理领域发生了重大变化。虽然 npm 仍是 Node.js 运行时环境中使用的 Java 软件包注册中心和管理器，但值得讨论的是，对于 Java 代码交付这个更大的问题，这些变化有什么影响。具体来说，我想到了最近出现的 Deno 的 Java ...

在 Node.js 社区中，关于默认开启 Corepack 的提议引发了激烈的争论，我在文末也发了个投票想看看大家的想法。 这项提议最早于 2023 年 11 月提出： 而这又引发了其他的一系列问题：未来是否会由 Corepack 提供 npm ？一部分贡献者认为，集成 Corepack 的终极目标应该 ...

问答论坛 Stackoverflow 的博客栏目近日采访了 NodeJS 的作者 Ryan Dahl. 在播客中，Ryan 从自己投身于服务端 JavaScript 运行时的个人经历出发，介绍了 NodeJS 开发的幕后故事与繁荣生态，同时比较了 Deno 的使用场景和优势，说明了新运行时的必要性。播客中也提到了 Deno ...

IT之家1 月 31 日消息，npm 是一个 Node.js 包管理和分发工具，于 2020 年被 Github 收购，开发者可在该仓库上传托管或下载软件包。 然而由于 npm 的免费特性，一些开发者把它当成了电子书或视频的存储工具。 近日，Sonatype 安全研究团队发现 npm 注册表中充斥着 748 个 ...