轻量级 JavaScript 库 'is' 于 2025 年遭遇钓鱼攻击,导致恶意版本发布,含远程代码执行后门。攻击者通过伪装邮件获取开发者凭证,修改软件包并植入恶意代码。受影响版本为 v3.3.1 至 v5.0.0,建议开发者审计依赖项并升级至安全版本。
2025年2月,研究人员发现Go编程生态系统中存在重大供应链攻击。一恶意包假冒广泛使用的BoltDB模块,利用Go模块代理的缓存机制潜伏多年。开发者应仔细验证包名和来源,定期审计依赖项,以降低供应链攻击风险。
完成下面两步后,将自动完成登录并继续当前操作。
