Axios库遭黑客劫持，npm被植入远程木马！恶意版本[email protected]/0.30.4通过虚假依赖执行后门脚本，窃取系统权限。立即检查版本 ...

IT之家 3 月 31 日消息，安全研究机构 StepSecurity 昨天发文称，主流 JavaScript 库 Axios 的两个 npm 版本 [email protected]、[email protected] 被恶意植入远程控制代码。 IT之家在此援引 StepSecurity，黑客劫持了 Axios 核心维护者“jasonsaayman”的 npm 账号，将邮箱替换为匿名的 ProtonMail ...

IT之家3 月 31 日消息，安全研究机构 StepSecurity 昨天发文称，主流 JavaScript 库 Axios 的两个 npm 版本 [email protected]、[email protected] 被恶意植入远程控制代码。 IT之家在此援引 StepSecurity，黑客劫持了 Axios 核心维护者“jasonsaayman”的 npm 账号，将邮箱替换为匿名的 ProtonMail ...

写 JavaScript 的你，工作流里十有八九还藏着一两步手工体力活：手动格式化、手动清理构建目录、提交前手动跑测试…… 可你 ...

轻量级 JavaScript 实用工具库 "is" 是 NPM 平台上的热门项目，每周下载量超过 220 万次。然而在 2025 年 7 月 19 日，该库开发者遭遇钓鱼攻击导致账户凭证泄露，攻击者借此发布了包含远程代码执行后门的恶意版本。 钓鱼攻击入侵开发者账户 据报告，项目维护者 John ...

本文最初发布于 RedMonk。 最近，JavaScript 软件包管理领域发生了重大变化。虽然 npm 仍是 Node.js 运行时环境中使用的 JavaScript 软件包注册中心和管理器，但值得讨论的是，对于 JavaScript 代码交付这个更大的问题，这些变化有什么影响。具体来说，我想到了最近出现 ...

尽管 pnpm 的 hoist 和 dedupe 机制、yarn 的 workspaces 已经在一定程度上缓解了这些问题，但并未从根本上解决“依赖不一致”带来的困扰。这也正是 VLT 和 VSR 诞生的原因。 Hello，大家好，我是 Sunday。 最近，NPM 的作者发布了两个全新的工具——VLT（Version Lock Tool ...

在 Node.js 社区中，关于默认开启 Corepack 的提议引发了激烈的争论，我在文末也发了个投票想看看大家的想法。 这项提议最早于 2023 年 11 月提出： 而这又引发了其他的一系列问题：未来是否会由 Corepack 提供 npm ？一部分贡献者认为，集成 Corepack 的终极目标应该 ...