IT之家7月17日消息，TheHackerNews昨日（7月16日）发布博文，报道称npm软件包列表中发现了2个恶意软件包，可以执行从远程服务器发送的恶意命令。这两个恶意软件包分别为img-aws-s3-object-multipart-copy和legacyaws-s3-object-multipart-copy，目前分别已被下载190次和48次，截至IT之家发稿为止，这两个恶意软件包已被npm

IT之家7月5日消息，GitHub和NPM的前工程经理DarcyClarke上周警告称，NPM包存在“Manifest混淆”问题。系统管理员FelixPankratz近日发布了一款基于Python的工具，可以帮助软件开发人员检查NPM包是否一致。NPM是JavaScript编程语言的程序包管理器，也是广泛使用的Noje.js环境的默认配置。该程序包管理器有助于项目管理员自动化安装、升级和配置托管在

上周六，一个很小的JavaScript库的更新使得大部分JavaScript生态系统陷入了混乱。据 ZDNet 指出，大约有数百万个项目在这一事件中受到了影响。而令人感到震惊地是，引起整个混乱的仅仅是一个“单行代码（one-liner）” 的JavaScript库。这也是第二次发生由小型JavaScript项目引起广泛问题的情况。第一次是发生在2016年3月，当时le......

IT之家3月17日消息 微软旗下的Github今天宣布收购npm，npm是Node软件包管理器、npmRegistry和npmCLI背后的公司。npm是JavaScript运行时环境Node.js的默认包管理器。截至今天，npm为大约1200万开发人员提供了130万个软件包，这些开发人员每月下载这些软件包达750亿次。微软表示，npm帮助JavaScript成为世界上最大的开发者生态系统......

Microsoft的漏洞研究团队在npm（NodePackageManager）存储库中发现了一个恶意 JavaScript程序包，可从UNIX系统窃取敏感信息。该恶意软件包名为 1337qq-js，于2019年12月30日上传到npm存储库中。目前，该恶意软件包已被 npm的安全团队删除。在此之前，该软件包至少被下载了32次。根据npm安全团队的分析，该软件包通过安......

Npm团队近日发布了安全警报，建议所有用户更新到最新版本（6.13.4），以防止“二进制植入”（binaryplanting）攻击。Npm开发人员表示，npm命令行界面（CLI）客户端受到了安全漏洞的影响，同时包括文件遍历和任意文件（覆盖）写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。仅在通过npmCLI安装受感染的的npm软件包期间，才能利用此漏洞。目前，Npm团队......

NPM 公司，JavaScript 包管理器 npm 的维护者。今年8 月份时，StandardJS在项目中实验性内置广告的事件引发热议，这些广告通过一个名为Funding的npm软件包展示在终端，该软件包包含在Standard的代码库中。之后NPM公司宣布将禁止此类终端广告行为。此事件后，NPM表示，它打算在今年年底前为开源开发人员开发一个众筹平......

近期，npm背后的公司NPMCEO BryanBogensberger宣布离职，董事会开始寻找候选人。npm是JavaScript的包管理工具，也是世界上最大的软件注册中心，目前维护着100多万软件包。Bryan于今年1月开始担任NPMCEO，这是 npm商业化计划的一部分，NPM表示，任职期间，Bryan使公司走上了确保全球最大的软件注册表持续可用的道路，并引入了新的服务和增......

不久前，StandardJS在项目中实验性内置广告的事件引起广泛讨论的，之后npm公司宣布将禁止此类终端广告行为。根据 TheRegister 报道，现在npm提出了以Patreon（一个供内容创建者进行群众募资的平台）方式给开源开发者捐赠的想法。npm表示，它打算在今年年底前为开源开发人员开发一个众筹平台。声明发布之前，被修改增加了禁止有“在运行时、安装时或软件开发生命周期的......

几天前，StandardJS在项目中实验性内置广告的事件引发热议。这些广告通过一个名为Funding的npm软件包展示在终端，该软件包包含在Standard的代码库中。随后，npm公司透过外媒 ZDNet 作出回应，宣布将禁止此类终端广告行为。“我们一直致力于改善政策，扩大对社区的承诺”，npm公司的 CTOAhmadNassri表示，“为此，我们正在对我们的政策进行......