2025年9月，一起针对NPM（Node Package Manager）生态系统的供应链攻击事件引发广泛关注。攻击者通过精心构造的钓鱼邮件，冒充NPM官方支持...

近年来，软件供应链攻击呈现高频化、专业化趋势，其中针对开源包管理生态的入侵尤为突出。2025年7月，广受欢迎的 npm 包 eslint-config-pret...

近年来，针对软件开发者的供应链安全威胁持续升级，其中以伪装成npm官方服务的钓鱼攻击尤为突出。攻击者通过伪造域名、仿冒邮件模板及高保真登录页面，诱导开发者在非官...

在执行 npm install 后，终端通常会打印出三部分核心信息：新增包的数量、审计包的数量以及安装所用的时间；紧接着若有依赖包启用了资助（funding）功...