威胁组织UNC6426通过利用nx npm包供应链攻击窃取的密钥，在72小时内完全入侵受害者的云环境。攻击从窃取开发者GitHub令牌开始，攻击者随后利用GitHub到AWS的OIDC信任关系创建新的管理员角色。他们滥用该角色从AWS S3存储桶中窃取文件，并在生产云环境中进行数据破坏。

A：该恶意包通过显示虚假的命令行安装界面和伪造的iCloud钥匙串授权提示来进行社会工程学攻击。它会显示带有动画进度条的假安装过程，然后弹出看起来很真实的系统密码输入框，诱骗用户输入密码。

IT之家 5 月 9 日消息，Node.js，这一广受欢迎的开源跨平台 JavaScript 运行环境，正式发布了 24.0 版本，新版本承诺带来更强的性能、更高的安全性以及更顺畅的开发体验。 Node.js 24.0 的亮点之一是 V8 JavaScript 引擎升级至 13.6 版本，引入了 Float16Array、显式资源管理 ...

本文最初发布于 RedMonk。 最近，Java 软件包管理领域发生了重大变化。虽然 npm 仍是 Node.js 运行时环境中使用的 Java 软件包注册中心和管理器，但值得讨论的是，对于 Java 代码交付这个更大的问题，这些变化有什么影响。具体来说，我想到了最近出现的 Deno 的 Java ...

在 Node.js 社区中，关于默认开启 Corepack 的提议引发了激烈的争论，我在文末也发了个投票想看看大家的想法。 这项提议最早于 2023 年 11 月提出： 而这又引发了其他的一系列问题：未来是否会由 Corepack 提供 npm ？一部分贡献者认为，集成 Corepack 的终极目标应该 ...

问答论坛 Stackoverflow 的博客栏目近日采访了 NodeJS 的作者 Ryan Dahl. 在播客中，Ryan 从自己投身于服务端 JavaScript 运行时的个人经历出发，介绍了 NodeJS 开发的幕后故事与繁荣生态，同时比较了 Deno 的使用场景和优势，说明了新运行时的必要性。播客中也提到了 Deno ...

IT之家1 月 31 日消息，npm 是一个 Node.js 包管理和分发工具，于 2020 年被 Github 收购，开发者可在该仓库上传托管或下载软件包。 然而由于 npm 的免费特性，一些开发者把它当成了电子书或视频的存储工具。 近日，Sonatype 安全研究团队发现 npm 注册表中充斥着 748 个 ...

IT之家3月17日消息 微软旗下的Github今天宣布收购npm，npm是Node软件包管理器、npm Registry和npm CLI背后的公司。npm是JavaScript运行时环境Node.js的默认包管理器。截至今天，npm为大约1200万开发人员提供了130万个软件包，这些开发人员每月下载这些软件包达750亿次。