npm 是 Node.js 的包管理工具,用来安装各种 Node.js 的扩展。
npm 是 JavaScript 的包管理工具,也是世界上最大的软件注册表。有超过 60 万个 JavaScript 代码包可供下载,每周下载约 30 亿次。npm 让 JavaScript 开发人员可以轻松地使用其他开发人员共享的代码。
npm 由三个不同的部分组成:
-
网站
-
注册表
-
命令行界面(CLI)
示例:查找包
首先在搜索栏中输入一个值:
相关选项将会出现:
-
概览
-
资讯
-
博客
-
安全信息
软件简介
代码
发表了资讯
2024/08/13 15:20
Phylum 研究团队发现,npm 中与 Tea 协议相关的垃圾包激增。Tea 协议是一项去中心化计划,由 Homebrew 创始人 Max Howell 发明,旨在改善开源商业模式,承诺以加密货币补偿软件开发者对开源的贡献。 但研究人员认为,npm 上的这些包除了利用协议人为夸大软件开发者的贡献外,几乎都没有任何可取之处。 在过去的六个月中,npm 上共发布了超过 890,000 个新软件包(不是现有软件包的更新),其中有 613,000 到 667,000 个(约占 ...
发表了资讯
2024/05/20 18:54
欢迎阅读 OSCHINA 编辑部出品的开源日报,每天更新一期。 # 2024.5.20 今日要点 Winamp 播放器计划“开源” Windows 版本源代码 Winamp 团队宣布将于 9 月 24 日提供其 Windows 版本的源代码,并邀请全球开发者参与贡献 —— 为 Windows 用户打造完美播放器。 Linus “吃狗粮”最积极! Linux 6.10 内核目前处于候选开发阶段,在一个关于 DRM 图形驱动程序更新补丁的邮件列表中,Linus Torvalds 称自己是 "dogfooding" 的忠实信...
发表了资讯
2024/05/19 16:21
npmmirror 镜像站(原CNPM)核心开发者在社交平台表示,有人利用 npm 包的机制,将刚开播的《庆余年2》整套高清盗版资源搬运到了 npmmirror。 好家伙,这是把托管开源软件包的镜像站当成了分发视频的 CDN。 因此开发者无奈地表示,npmmirror 目前已暂停 unpkg 的【新增文件】服务,不再解析新的包版本,但存量的仍会保留,所以不会影响使用者的当前业务。 unpkg 介绍 unpkg 是一个快速的、全球性的、免费的公共 npm 包 CDN,它允...
发表了资讯
2024/01/31 11:28
欢迎阅读 OSCHINA 编辑部出品的开源日报,每天更新一期。 # 2024.1.30 今日要点 OpenSource Daily RWKV-5-World 7B 模型开源 —— 最环保、最节能的 AI 模型 2024 年 1 月 28 日,RWKV 开源基金会宣布开源 RWKV-5-World 7B 模型。 据介绍,“RWKV-5-World 7B” 是 RWKV 第五代架构 7B 参数大模型,也是 RWKV 迄今为止多语言性能最强的开源大模型。根据性能评测数据显示,在 100% attention-free 和只训练 1.1T tokens 的前提下,...
发表了资讯
2024/01/30 11:51
Sonatype 安全研究团队近日介绍了一起滥用 npm 的案例——他们发现托管在 npm 的 748 个软件包实际上是视频文件。 据介绍,这些软件包每个大小约为 54.5MB,包名以 “wlwz” 作为前缀,并附带了应该是代表日期的数字。时间戳显示,这些包至少自 2023 年 12 月 4 日起就一直存在于 npm,但 GitHub 上周已经开始删除。 每个包中都有以“.ts”扩展名结尾的视频剪辑,这表明这些视频剪辑是从 DVD 和蓝光光盘中翻录的。 这里的 ts 不...
发表了资讯
2023/04/11 08:44
伪造的空软件包正在占领 NPM ,甚至短暂地导致拒绝服务 (DoS) 攻击。 Checkmarx 在上周发布的一份 npm 恶意行为分析报告中介绍: 针对开源生态系统的恶意活动正在导致大量垃圾邮件、SEO 中毒和恶意软件感染。 这些攻击造成了拒绝服务 (DoS),使 NPM 不稳定,甚至出现零星的‘服务不可用’错误。 通常,单月在 NPM 上发布的包版本数量约为 80 万。然而,上个月 NPM 的新包数量超过了 140 万。 这些空包来源于一些恶意行为者创建的...
发表了资讯
2022/07/15 21:24
事件简述 2022年7月14日,OSCS 监测发现NPM仓库中上传了 branch-node-core、epic-ue-loading 两个恶意组件包,出自相同的模板,通过多种方式绕过静态、动态检测机制。 由于发现这些恶意组件包在不同环境中的运行结果并不相同,我们对代码进行了分析,发现这些恶意组件包会检测用户运行环境的特征,根据特征判断是否进入恶意逻辑。 接下来我们以 branch-node-core 为例,分析其中尝试绕过代码静态分析和运行时动态检测的手法,希...
发表了资讯
2022/07/05 12:26
报告来源:OSCS开源安全社区 更新日期:2022-07-04 事件简述 NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。 2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。 详细分析 以 k0s 组件为例,其目录结构如下: index.js package.json ...
发表了资讯
2022/04/12 08:57
继百万周下载量的 npm 包“ node-ipc ”以反战为名进行供应链投毒后,又一位开发者在代码中加入反战元素。3 月 17 日,俄罗斯开发人员 Viktor Mukhachev (aka Yaffle) 在其流行的 npm 库“event-source- polyfill”中添加了一段反战代码。这段在 1.0.26 版本中引入的代码意味着:使用该库构建的应用程序,将在启动 15 秒后向俄罗斯用户显示反战消息。 Polyfill 包可以在不支持的 Web 浏览器上实现现有的 JavaScript 功能。因此...
发表了资讯
2022/02/16 08:35
微软和北卡罗来纳州立大学去年合作开展了一个学术研究项目,研究人员通过分析上传到 Node Package Manager (npm) 的大约 163 万个库的元数据,发现数千名 JavaScript 开发者正在使用域名过期的邮箱作为其 npm 帐户,从而导致他们托管在 npm 的项目会轻易被劫持。 据称,npm 上所有用户的邮件地址都是公开的。通过请求个人资料页面即可返回邮件地址: npm 是最大的 JavaScript 软件包仓库。研究人员发现 2818 名项目维护者的帐户...
发表了资讯
2021/12/11 08:06
DevOps 安全公司 JFrog 在 npm(Node.js 包管理器)存储库中发现了 17 个新的恶意软件包,故意试图攻击和窃取用户的 Discord 令牌。根据介绍,这些包的有效载荷多种多样,从信息窃取程序到完整的远程访问后门。此外,这些包还具有不同的感染策略,包括域名抢注、依赖混淆和木马功能。 Discord 是一个流行的数字通信平台,拥有超过3.5亿注册用户,可以通过语音通话、视频通话、文本消息和媒体文件(或其他任意文件)进行通信。D...
发表了资讯
2021/11/18 14:47
淘宝 NPM 镜像站,简称 CNPM (npm.taobao.org),已宣布切换至新域名: https://npmmirror.com/ 据介绍,CNPM 自 2014 年正式对外服务,初衷是创建一个 NPM 的中国镜像站点,其参考 Ruby Gems 淘宝镜像 的方式,跟阿里开源组织申请了 taobao.org 的二级域名,镜像站点名称取名为 淘宝 NPM 镜像站。 CNPM 分为 Registry 源站 和 CLI 命令行,社区用户一般通过 npm / pnpm / yarn 连接前者来加速 npm 包的下载。 随着前端的蓬勃发展...
发表了资讯
2021/11/18 08:36
近日,Github 首席安全官 Mike Hanley 宣布已修复 npm JavaScript 注册表的漏洞(npm 是 JavaScript 运行时环境Node.js 的默认包管理器), 还透露未来将对 npm 包的维护者和管理者实行双因素身份验证 (2FA)。 此前,npm 的漏洞曾导致私有 npm 包的名称泄露,以及恶意攻击者可以在未经授权的情况下更新 npm 包。此次修复的 npm 漏洞主要也是包含这两方面的内容: GitHub 公开的 npm 服务日常维护,引发了npmjs 副本服务器上的 ...
发表了资讯
2021/11/05 08:35
据 bleepingcomputer 报导,11 月 4 日,流行的 npm 库“coa” 被劫持,其中注入了恶意代码,短暂地影响了世界各地依赖于“coa”的 React 包。 “coa”是 Command-Option-Argument 的缩写:Node.js 项目的命令行选项解析器。这个库每周在 npm 上的下载量约为 900 万次,被 GitHub 上近 500 万个开源存储库使用。 该项目的最后一个稳定版本 2.0.2 于 2018 年 12 月发布。但是,在 npm 上突然出现了几个可疑版本 2.0.3、2.0.4、2...
发表了资讯
2021/10/29 07:04
10 月似乎是多事之秋,网络安全事故接连发生,此前我们就已经报导过 ua-parser-js NPM 库 被劫持 、SonarQube 平台漏洞被利用 。而 10 月 27 日,据 Sonatype 报导, NPM 上又出现了一些与 Noblox.js 相关的虚假包,这些假包内置了勒索软件和一些吓人的小把戏。 鱼目混珠的 Noblox.js 包 Noblox.js 是沙盒游戏 Roblox 的开源 JavaScript API,用户通常使用这个库来创建与 Roblox 网站交互的游戏脚本。(迄今为止已下载超过 700,...
发表了资讯
2021/10/25 16:57
报告编号:B6-2021-102501 报告来源:360CERT 报告作者:360CERT 更新日期:2021-10-25 1. 事件导览 本周收录安全热点29项,话题集中在恶意软件、网络攻击方面,涉及的组织有:Thingiverse、TikTok、Twitter、Thingiverse等。勒索软件大肆攻击国家关键设施。对此,360CERT 建议使用360 安全卫士进行病毒检测、使用360 安全分析响应平台进行威胁流量检测,使用360 城市级网络安全监测服务 QUAKE进行资产测绘,做好资产自查以及预...
发表了资讯
2021/10/24 09:45
2021 年10月22日,Npm 官方仓库 ua-parser-js 被恶意劫持,多个版本被植入了挖矿脚本。 ua-parser-js 包是一个 JavaScript 库,用于 从User-Agent 中解析出浏览器、引擎、操作系统、CPU 和设备类型/模型等相关的设备信息,被广泛应用于JavaScript开发。这个库非常受欢迎,每周下载数百万次,本月下载量超过 2400 万次,被用于一千多个项目,包括 Facebook、微软、亚马逊、Instagram、谷歌、Slack、Mozilla、Discord、Elastic、I...
发表了资讯
2021/09/08 08:26
"pac-resolver" 是一个非常受欢迎的 NPM 软件包,通过查询可以发现该软件包每周的下载量超过 300 万次,在 GitHub 上有 28.5 万个公共依赖仓库。近日该软件包开发者推出了一个漏洞修复补丁,以解决一个可能影响很多 Node.js 应用程序的远程代码执行漏洞(RCE)。 开发人员 Tim Perry 本周披露了 pac-resolver 依赖关系中的一个高危漏洞,他指出,只要操作者试图发送 HTTP 请求,它就可能允许本地网络上的攻击者在 Node.js 进程中...
发表了资讯
2021/08/27 08:10
npm 发布公告称,从 2021 年 10 月 4 日开始,所有与 npm 网站和 npm registry 的连接(包括软件包的安装),都必须使用 TLS 1.2 或更高版本。 具体的时间节点 虽然 npm 将从 2021 年 10 月 4 日开始强制执行最低要求的 TLS 1.2,但在弃用之前仍会采取措施提醒受影响的用户注意此更改。 从 8 月 24 日开始,未使用 TLS 1.2 的用户在运行 npm 命令时将看到一条通知,其中包含指向此公告的链接 9 月 22 日,从 05:00 UTC 开始执行...
发表了资讯
2021/07/26 09:12
在一场大规模的软件供应链攻击中,一名密码窃取者被发现通过 ChromePass 从 Windows 系统上的 Chrome 窃取凭据。 ChromePass 是一款适用于 Windows 的小型密码恢复工具,可用于查看 Chrome 浏览器存储的用户名和密码。对于每项密码条目,将显示以下信息:源 URL、操作 URL、用户名字段、密码字段、用户名、密码和创建时间。它允许使用者从当前运行的系统或存储在外部驱动器上的用户配置文件中获取密码。 研究人员发现,在 npm ...
没有更多内容
加载失败,请刷新页面
{{o.pubDate | formatDate}}
没有更多内容
暂无内容
{{o.pubDate | formatDate}}
没有更多内容
暂无内容
暂无内容
热门软件
README badge
![README Badge]()
评论