最近 npm 相关的投毒实在是太多了……
npm install -g socket
socket wrapper on
具体原理:
 |
1
zhaoolee 1 day ago
没想到,AI 大炼钢受害者是 npm
|
 |
2
lisxour 1 day ago  1
那要是给 npm 上面的 socket 包投了毒呢,socket 是保护 npm 的,同时又使用 npm 下载,这个莫名戳中笑点
 |
 |
5
MIUIOS 1 day ago
屎山裹小脚的即视感
|
 |
6
diudiuu 1 day ago
|
 |
7
jaff 1 day ago
最好的办法就是不要再 node 一把刷了,有了 AI ,该 IOS 就 swift ,Android 就 Java ,AI 就 Python 。
|
 |
8
BeiChuanAlex 1 day ago
@jaff #7 确实,跨平台技术一堆坑
|
 |
9
savingrun 1 day ago
现在 ai 时代代码产出太多太快了,看都看不过来了。
|
 |
13
Ayanokouji 1 day ago
@jaff web 端咋办
|
|
14
jaff 1 day ago
@Ayanokouji web 还是留给 Node ,至少会降低损失。
注意上面,我说的是: 不要 node 一把刷, [做正确的事选择正确的工具] ,而不是一把刷,比如上面有提到 C++的,又或者是手搓 node 代码的,不要从一个极端走向另一个。 总结: 做正确的事选择正确的工具。 |
 |
15
sleepm 1 day ago
https://aube.en.dev/security.html
最近看到的一个包管理 |
 |
16
TerranC 15h 21m ago
是不是 volta 也能用?
|
 |
17
mornlight 12h 7m ago
避免安装最新版本的包可以很大程度缓解投毒风险:
FYI, npm/bun/pnpm/uv now all support setting a minimum release age for packages. https://news.ycombinator.com/item?id=47513932 |
 |
18
cz5424 4h 31m ago
出个馊主意:以毒攻毒,npm install 后让 claude 找一下 node_modules 有没有后门或者安全漏洞;后面把 node_modules 整个打包上线
|
 |
19
magicdawn 1h 49m ago
@jaff #7 Pypi 也有投毒啊...
之前的 litellm 这次 mistralai 2.4.6 https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack |
Select Language