产品
别名:npmjs
一个用于管理 JavaScript 包的工具。
已收录 10 条与 NPM 相关的内容,按评分排序。
TanStack 于 2026 年 5 月 11 日遭遇 npm 供应链攻击,攻击者利用 GitHub Actions 缓存投毒和 OIDC 令牌提取,在 42 个包中发布了 84 个恶意版本。
入选理由:Attackers exploited pull_request_target and GitHub Actions cache poisoning to publish 84 malicious versions in 6 minutes.
TanStack 多个 npm 包的最新版本被植入恶意代码,攻击者通过窃取的开发者凭证发布污染包,建议立即排查依赖并撤销旧 token。
入选理由:受感染的包包括 @tanstack/react-router 和其他子项目,发布时间集中在 2026 年 5 月 11 日。
攻击者通过伪造 PR 提交恶意代码,污染 pnpm 缓存并在数分钟内发布 84 个恶意 npm 版本,影响 42 个包。
入选理由:攻击者利用伪造的 zblgg 用户提交 PR 7378,成功绕过审查
OpenCLI 是一个 GitHub 上的开源项目,通过命令行将网页、聊天记录等数据结构化,无需模型推理即可完成操作。
入选理由:OpenCLI 可以将微信、Telegram 等私域聊天记录转化为可搜索、可导出的个人信息流。
NPM注册表被单个PR攻击,导致100+包被污染,影响超500万次/周下载。
入选理由:100+包被污染,每周下载量超500万
TrapDoor供应链攻击利用AI助手配置文件作为攻击面,通过恶意包和PR注入方式窃取开发者凭证。
入选理由:34个恶意软件包针对加密、AI和安全开发者,目标为窃取钱包、SSH密钥和云凭证
本文介绍了如何在不使用 NPM 的情况下使用 Three.js 库,适合对 HTML 和 JavaScript 有基本了解但不熟悉 NPM 的开发者。
入选理由:通过在 HTML 文件中引入 Three.js 的 CDN 链接,可以无需 NPM 直接使用该库。
TanStack披露了一次复杂的npm供应链攻击事件,42个软件包被入侵,攻击者通过劫持维护者账户和利用npm发布流程进行恶意代码注入,这是2026年针对JavaScript生态系统的重大安全事件。
入选理由:攻击者入侵了42个npm软件包,通过劫持维护者账户注入恶意代码
Viking 推荐使用 pnpm、npm 或 bun 的包版本冷却机制来防御 npm 供应链攻击,强制新发布的包必须经过一定时间才能被安装,从而避开攻击窗口。
入选理由:pnpm、npm 和 bun 提供了包版本冷却机制,分别设置为 10080 分钟、7 天和 604800 秒。
文章仅为 Hacker News 热门条目聚合,缺乏深度分析、技术原理或原创洞见,多为新闻搬运与社交媒体动态拼贴,信息密度低,无工程实践价值。
入选理由:Karpathy 加入 Anthropic,计划扩展 AutoResearch 为递归训练,但社区质疑其创新性。
