今日，Axios这个年下载量超36亿、JavaScript 生态最核心的依赖之一，在 npm ...

IT之家 3 月 31 日消息，安全研究机构 StepSecurity 昨天发文称，主流 JavaScript 库 Axios 的两个 npm 版本 axios@1.14.1、axios@0.30.4 被恶意植入远程控制代码。

朝鲜这个国家，在大多数人的认知里应该是相当封闭落后的。但他们的网络攻击能力，一直被严重低估。从 2014 年的索尼影业攻击，到 2017 年的 WannaCry 勒索病毒，再到这次对 npm 生态的精准打击，朝鲜黑客的技术水平和作战纪律一点也不「落后 ...

安全研究机构StepSecurity近日披露，知名Java库Axios的两个npm版本——axios@1.14.1和axios@0.30.4，遭黑客植入恶意代码。此次攻击通过劫持核心维护者“jasonsaayman”的npm账号实施，黑客将账号邮箱替换为匿名ProtonMail地址后，绕过GitHub Actions自动化流程，手动发布了被污染的版本，并通过npm CLI直接上传恶意安装包。 恶意 ...

IT之家 5 月 9 日消息，Node.js，这一广受欢迎的开源跨平台 JavaScript 运行环境，正式发布了 24.0 版本，新版本承诺带来更强的性能、更高的安全性以及更顺畅的开发体验。 Node.js 24.0 的亮点之一是 V8 JavaScript 引擎升级至 13.6 版本，引入了 Float16Array、显式资源管理 ...

Anthropic旗下专有的 Claude Code 命令行工具（CLI）完整 TypeScript 源码，疑似因 npm 包配置失误，经由其 npm 注册表意外泄露。 事件最早由安全研究员邵超凡（Chaofan Shou）披露，他在社交平台 X ...

广受欢迎的Axios HTTP客户端库近期遭到黑客攻击，通过被入侵账户传播恶意软件。攻击者利用npm包管理器上被劫持的账户分发恶意代码，影响两个软件包并安装远程访问木马，可控制Windows、macOS和Linux系统。该库每周下载量近3亿次，攻击者精心策划18小时并预建三个操作系统载荷。安全专家呼吁开发者立即检查并更新当前版本，这起供应链攻击代表了网络安全面临的严重威胁。