最近 npm 相关的投毒实在是太多了……
npm install -g socket
socket wrapper on
具体原理:
 |
1
zhaoolee 1 day ago
没想到,AI 大炼钢受害者是 npm
|
 |
2
lisxour 1 day ago  2
那要是给 npm 上面的 socket 包投了毒呢,socket 是保护 npm 的,同时又使用 npm 下载,这个莫名戳中笑点
 |
 |
5
MIUIOS 1 day ago
屎山裹小脚的即视感
|
 |
6
diudiuu 1 day ago
|
 |
7
jaff 1 day ago
最好的办法就是不要再 node 一把刷了,有了 AI ,该 IOS 就 swift ,Android 就 Java ,AI 就 Python 。
|
 |
8
BeiChuanAlex 1 day ago
@jaff #7 确实,跨平台技术一堆坑
|
 |
9
savingrun 1 day ago
现在 ai 时代代码产出太多太快了,看都看不过来了。
|
 |
13
Ayanokouji 1 day ago
@jaff web 端咋办
|
|
14
jaff 1 day ago
@Ayanokouji web 还是留给 Node ,至少会降低损失。
注意上面,我说的是: 不要 node 一把刷, [做正确的事选择正确的工具] ,而不是一把刷,比如上面有提到 C++的,又或者是手搓 node 代码的,不要从一个极端走向另一个。 总结: 做正确的事选择正确的工具。 |
 |
15
sleepm 1 day ago
https://aube.en.dev/security.html
最近看到的一个包管理 |
 |
16
TerranC 20h 0m ago
是不是 volta 也能用?
|
 |
17
mornlight 16h 46m ago
避免安装最新版本的包可以很大程度缓解投毒风险:
FYI, npm/bun/pnpm/uv now all support setting a minimum release age for packages. https://news.ycombinator.com/item?id=47513932 |
 |
18
cz5424 9h 10m ago
出个馊主意:以毒攻毒,npm install 后让 claude 找一下 node_modules 有没有后门或者安全漏洞;后面把 node_modules 整个打包上线
|
 |
19
magicdawn 6h 28m ago
@jaff #7 Pypi 也有投毒啊...
之前的 litellm 这次 mistralai 2.4.6 https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack |
 |
20
unregister 4h 37m ago
为啥 v 站不出一个类似推特 @Grok 的功能,比如我不知道 Socket.dev 是什么 可以 @它一下 :)
|
 |
21
shiny PRO 开始装上杀毒软件了,最近漏洞利用太多了
|
 |
22
gefangshuai 3h 40m ago
正需要,感谢分享!
|
 |
23
shunia 3h 16m ago
@unregister #19 你想让楼主破产
|
 |
24
HankAviator 3h 13m ago
vibe 一把梭,agent 直接帮忙装环境了
codex:我管你这那的 😂 |
Select Language