为应对NPM供应链攻击，GitHub宣布NPM v12将默认不再自动执行依赖项安装脚本，开发者需手动批准受信任的包。主要变化包括关闭脚本执行和禁止自动解析Git及远程依赖，旨在提高NPM生态系统的安全性，防止恶意载荷自动安装。开发者需根据GitHub指南配置项目。

Socket 安全研究人员揭露了名为 TrapDoor 的大规模供应链攻击，影响 npm、PyPI 和 Crates.io 生态，已识别出 34 个恶意软件包。攻击主要针对加密货币和 AI 开发者，窃取 SSH 密钥和 AWS 凭证。攻击者通过恶意脚本和后门实现持久化，提醒开发者关注供应链安全。

Apifox官方CDN近期遭遇供应链攻击，恶意JavaScript代码被植入，可能窃取用户敏感信息。受影响版本为2.8.14及以下，用户需立即更新至安全版本，并启用安全模式加强监控。

绿盟科技CERT发现LiteLLM新版本存在凭证窃取程序，系TeamPCP团伙通过供应链攻击发布恶意版本，窃取用户敏感数据。受影响版本为1.82.7和1.82.8，建议用户降级至安全版本1.82.6并检查系统，提醒软件供应链安全的重要性。

绿盟科技CERT监测到axios的npm仓库遭受供应链攻击，攻击者发布了带有木马的恶意版本，影响了axios 1.14.1和0.30.4。建议用户立即降级并清除恶意依赖，同时建立安全审计机制以防范此类威胁。

绿盟科技CERT监测到开源AI框架Xinference在PyPI遭受供应链攻击，攻击者发布了3个恶意版本（2.6.0、2.6.1和2.6.2），窃取用户敏感数据。建议用户立即降级至安全版本2.5.0并进行全面排查与防护。此事件强调了开源组件的安全审计和供应链安全的重要性。

知名扩展程序Nx Console遭到供应链攻击，黑客利用窃取的凭证发布恶意版本，导致约3,800个私有源代码仓库泄露。在36分钟内，该扩展被安装超过6,000次。开发者需立即检查并轮换凭证，Nx Console团队已发布清除恶意代码的指南，并将改进发布流程以增强安全性。

知名扩展程序Nx Console遭到供应链攻击，黑客利用窃取的凭证发布恶意版本，导致约3,800个私有源代码仓库泄露。该扩展在36分钟内被安装超过6,000次。开发者需立即检查并轮换凭证，Nx Console团队已发布清除恶意代码的指南，并将改进发布流程以增强安全性。

OpenAI 受到 TanStack 供应链攻击影响，部分员工设备被感染，泄露少量内部信息。为防止黑客利用窃取的代码签名证书，OpenAI 决定轮换证书，macOS 用户需更新至新版本，旧版软件将被拦截以确保用户数据安全。

TanStack 仓库遭受供应链攻击，发布了 84 个恶意版本，建议用户更换凭证。Bambu Lab 被批评滥用开源契约，限制用户隐私。GitLab 宣布裁员并重组，聚焦 AI 代理。UCLA 发现新药 DDL-920 可改善中风后运动能力。欧盟计划限制社交媒体对儿童的成瘾设计，保护未成年人。

TanStack系列工具包遭到供应链攻击，黑客发布了84个恶意NPM包，可能窃取开发者的敏感凭据。TanStack已弃用受影响版本，并清理了GitHub Actions缓存，建议开发者立即进行排查。