IT之家 5 月 25 日消息，国家网络安全通报中心今日发布预警，称监测发现，全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷了 npm 官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及 300 余个独立程序包的 600 余个恶意版本，影响多个热门开源项目。 据介绍，当开发者安装恶意依赖包后，程序会自动在本地主机、CI / ...

人民财讯5月25日电，国家网络安全通报中心监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷了npm官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及300余个独立程序包的600余个恶意版本，影响多个热门开源项目。当开发者安装恶意依赖包后，程序会自动在本地主机、CI/CD流水线环境执行恶意代码，窃取GitHub Token、 ...

研究人员在vm2 JavaScript沙箱库中发现13个严重漏洞，攻击者可借此突破容器限制并在宿主系统执行任意命令。其中CVE-2026-26956可在特定Node.js 25与WebAssembly组合环境下完全逃逸沙箱，CVE-2026-44007则通过nesting:true配置选项触发权限控制缺陷。安全研究人员建议开发者立即升级至vm2 3.11.2版本，并考虑将不可信代码迁移至Docke ...

日前研究人员发现一种名为FROST（基于OPFS的SSD时序远程指纹识别）的新型追踪技术，网站只需访客打开一次页面，就能推断其正在浏览的其他网站及设备上运行的应用程序。该技术利用浏览器内置的OPFS（源私有文件系统）文件系统执行JavaScript脚 ...

有时候，免费的资源可能是最好的选择。我们精选了大量在线课程和技术博客，为您提供最优质的免费实战项目。 如果您在课程中遇到以下情况，请提交问题反馈。 付费课程：需要支付费用才能完整学习的课程； 过时课程：课程中使用的工具版本、API或数据集 ...

这个位置成为了一批“黄金老将”的战场： Visual Basic、SQL、Fortran、Ada、Perl、Delphi 每个月轮流上阵 ，时而挺进前十，时而被其他语言替代。仿佛每次有人刚挤进去，就会被下一位老朋友温柔地“请”了出来。

美俄两国领导人先后访问了北京，从相似的隆重欢迎仪式背后可以看出中国对美俄关系截然不同的战略定位：对特朗普，习近平着力通过高规格礼遇稳定中美关系、缓和贸易与安全分歧；而对普京，则更强调深化“无上限”战略伙伴关系，通过密集协议签署、能源合作与联合声明，进 ...

Bun的创始人Jarred Sumner近日在GitHub上发布了一份Zig转Rust的移植指南，引发外界猜测该项目可能正准备放弃Zig语言。不过Sumner本人表示，目前并没有正式承诺进行重写，他只是"想看看一个可运行的版本会是什么样子、用起来什么感觉、性能如何"。

314 个 npm 包被投毒，看起来像一个安全事件。但更现实的结论是： npm 最大的风险，从来不是漏洞本身，而是“信任机制”。 npm 又出事了。 但这一次，不是某个冷门库被塞了挖矿脚本。 也不是某个开发者误发了测试版本。 而是一种更隐蔽、更难防的攻击方式 ...

本周三，德国联邦检察院下令在慕尼黑逮捕了两名涉嫌为中国从事间谍活动的嫌疑人。这名姓名为Xuejun C. 和Hua ...