今日，Axios这个年下载量超36亿、JavaScript 生态最核心的依赖之一，在 npm ...

IT之家 3 月 31 日消息，安全研究机构 StepSecurity 昨天发文称，主流 JavaScript 库 Axios 的两个 npm 版本 [email protected]、[email protected] 被恶意植入远程控制代码。IT之家在此援引 ...

安全研究机构StepSecurity近日披露，知名Java库Axios的两个npm版本——[email protected]和[email protected]，遭黑客植入恶意代码。此次攻击通过劫持核心维护者“jasonsaayman”的npm账号实施，黑客将账号邮箱替换为匿名ProtonMail地址后，绕过GitHub Actions自动化流程，手动发布了被污染的版本，并通过npm CLI直接上传恶意安装包。 恶意 ...

PANews 3月31日消息，慢雾再次发布安全提醒称，注意排查axios恶意版本1.14.1/0.30.4及OpenClaw npm全局安装历史暴露风险，[email protected]与[email protected]已被确认为恶意版本，两者均被植入依赖plain ...

NPM, the Node Package Manager, hosts millions of packages and serves billions of downloads annually. It has served well over the years but has its shortcomings, including with TypeScript build ...

据安全公司 Socket 披露，研究人员发现 5 个恶意 npm 包针对 Ethereum 和 Solana 开发者，通过 typosquatting（名称仿冒）诱导安装，窃取私钥并通过 Telegram 回传攻击者。其中 4 个针对 Solana，1 个针对 Ethereum。相关恶意包会劫持开发者调用的关键函数，在返回正常结果前上传私钥数据。研究人员已向 npm 提交下架请求，并提醒受影响私钥 ...