| 供應鏈攻擊 | npm | ChromePass

鎖定NPM套件用戶的供應鏈攻擊,攻擊者混入合法工具竊取瀏覽器帳密

惡意軟體分析解決方案業者ReversingLabs揭露鎖定開發人員的供應鏈攻擊,攻擊者在提供的NPM套件中,挾帶了合法工具ChromePass,來收集受害電腦的瀏覽器帳密

2021-07-26

| GitHub | npm | JavaScript | node.js

GitHub買下Node.js套件管理器Npm

GitHub的併購將為原本營運艱困的Npm注入大量的資源,使Npm能擴展其基礎設施,並且增加服務功能

2020-03-17

| Node.js套件管理工具 | npm | bb-builder

npm撤下含有可竊取登入憑證的bb-builder套件

基於bb-builder套件含有可竊取登入資訊的惡意程式碼,對此Node.js套件管理工具npm官方提醒任何安裝這款套件的用戶,都必須更換電腦存放的機密與金鑰以策安全

2019-08-22

| GitHub | 套件管理 | npm | NuGet | 開發

GitHub釋出自家套件管理服務

套件開發團隊利用GitHub進行開發的同時,還能直接在GitHub上發布套件,該服務支援Npm與NuGet等常用套件管理工具

2019-05-14

| node.js | npm | 後門程式 | 軟體供應鏈安全 | 開放原始碼軟體安全

Node.js套件管理器Npm出現惡意後門套件,允許駭客執行任意程式碼

在5月2日,Npm安全團隊收到了一份來自社群的回報,內容指出,getcookies套件含有惡意程式碼,且由於套件互相相依的關係,牽扯了一串套件。

2018-05-08

| node.js | OpenSSL | ABI | npm

Node.js 10正式釋出!強化安全、解決原生模組版本破碎化問題

Node.js 10.x提供許多先進的現代加密技術,包括支援Google為行動裝置設計的ChaCha20加密以及Poly1305驗證器演算法,另外,也支援目前網路應用的標準配備AEAD加密。

2018-04-27

| JavaScript | npm | 套件管理工具 | 網站開發

知名套件管理工具npm 5.7.0出現重大臭蟲,恐讓主機死當,官方疾呼:且慢更新!

npm用戶Crunkle指出,npm 5.7.0完全破壞了他的檔案系統權限,使得他必須手動修補重大檔案與文件夾的權限

2018-02-23