Skip to main content

Search: #npm

今天abc看了啥🤔
现在我也不知道这频道发了啥了,各位慢慢吃瓜,将就着看

联系我请去 @abc1763613206

友链儿
@cyberElaina
@rvalue_daily
@billchenla

  1. Forwarded from cosine - 前端人の日常频道
    #前端 #供应链攻击 #npm #安全 #新动态
    想必大家都看麻了x
    早用 pnpm 早超生,俩周以内的依赖更新不装((
    Active Supply Chain Attack Compromises @antv Packages on npmnpm 上的 AntV 可视化库包被植入恶意代码,构成活跃的供应链攻击。

    AI 摘要:2026 年 5 月,Socket Research Team 发现 @antv 系列 npm 包遭到供应链攻击,攻击者发布恶意版本,通过 postinstall 脚本窃取环境变量和 npm token,影响 @antv/g6、@antv/util 等多个核心包,建议用户立即版本锁定并轮换密钥。

    [以下是方便搜索索引的大纲(AI 生成),请读原文]
    1. 攻击事件概览
    • 2026 年 5 月 11–19 日期间,大量 @antv 子包集中发布恶意版本,时间戳显示攻击窗口集中。
    • Socket 安全团队通过实时包监控(package monitoring)发现异常发布行为并发出警报。

    2. 攻击手法与技术细节
    • 恶意代码嵌入 postinstall 钩子,安装时自动执行,窃取系统环境变量、npm token 及敏感配置。
    • 攻击者利用泄露的维护者凭据或通过社会工程学获取 npm 发布权限。

    3. 受影响包范围
    • 涉及 @antv/scale、@antv/attr、@antv/component、@antv/g6 等数十个包的多个版本。
    • 所有在 2026-05-11 至 2026-05-19 时间窗口内发布的版本均为恶意版本。

    4. 紧急缓解措施
    • 锁定依赖版本,避免使用上述时间窗口内的版本。
    • 运行 npm audit 或使用 Socket 工具扫描项目并移除受影响包。
    • 立即轮换所有可能泄露的 npm token、环境变量及 API 密钥。
    • 关注 AntV 官方后续安全公告,升级到修复后的版本。
    Socket
    Mini Shai-Hulud Hits @antv Ecosystem, 639 Compromised npm Pa...
    Mini Shai-Hulud Hits @antv Ecosystem, 639 Compromised npm Pa...
    Active npm supply chain attack compromises @antv packages in a fast-moving malicious publish wave tied to Mini Shai-Hulud.

  2. Forwarded from 层叠 - The Cascading
    chalk 和 chokidar 均为 npm 上著名包。

    GitHub 项目 AFFiNE 近日从一个 PR 发现项目开发者曾误引入一个名为 chalk-next 的恶意包(与此 PR 似乎无关),此 chalk-next 包包含尝试收集/检查系统环境变量及删除文件的投毒代码 [1]。有 Twitter 用户分析后提到 [2],疑似同一位作者还发布了包含类似行为,名为 chokidar-next 的包 [4]。

    从 chokidar-next 包作者 [5] 其它包元信息指向的 GitHub 用户来看,这两个包的目的似乎是检测 vue-admin-beautiful 付费版本盗版用户并删除其代码 [6]。

    目前 chalk-next 和 chokidar-next 均被标记为 "Security holding package" [7][8]。

    1. https://github.com/toeverything/AFFiNE/pull/668
    2. https://twitter.com/yihong0618/status/1610919470410928133
    3. https://www.npmjs.com/org/chu1204505056
    4. web.archive.org/~
    5. web.archive.org/~
    6. https://github.com/chuzhixin/chalk-next
    7. https://www.npmjs.com/package/chalk-next
    8. https://www.npmjs.com/package/chokidar-next

    #npm #vueadminbeautiful #OpenSource #Ecosystem #SupplyChain #Security
    GitHub
    Update printer.js by heng1025 · Pull Request #668 · toeverything/AFFiNE
    There can be more than Notion and Miro. AFFiNE is a next-gen knowledge base that brings planning, sorting and creating all together. Privacy first, open-source, customizable and ready to use. - Update printer.js by heng1025 · Pull Request #668 · toeverything/AFFiNE

  3. Forwarded from 层叠 - The Cascading
    Vue CLI 已经发布 4.5.16/5.0.3 版本,以锁定 node-ipc 的依赖到不含 peacenotwar 模块的版本。昨天下午到晚上新透过 Vue CLI 创建的项目/更新依赖的项目可能受到 peacenotwar 模块的影响,但此模块不会导致文件被删除。

    https://github.com/vuejs/vue-cli/issues/7054#issuecomment-1068677029

    thread: /3471

    #Vue #NodeIPC #npm
    GitHub
    !!!!!!!!!!!! Please do something to warn USERS besides publishing new versions · Issue #7054 · vuejs/vue-cli
    See https://github.com/RIAEvangelist/node-ipc/issues/233#issuecomment-1068182278 the node-ipc is doing things far more than ever expected. If any users are using ip in russia, all their file will b...