我解决了 node.js 版本切换导致全局安装 CLI 失效的问题，并清理了历史垃圾，释放了电脑空间。使用 mise 替代 npm -g 安装 tiddlywiki。

近期网络安全事件包括：恶意npm包窃取GitHub令牌，思科与Citrix漏洞被利用，ChatGPT存在SSRF漏洞，GitHub Copilot与Visual Studio漏洞可绕过安全防护，微软修复63个漏洞，Lite XL和Apache OpenOffice存在高危漏洞，GitLab和Open WebUI修复XSS漏洞，ChatGPT新型攻击可能泄露用户隐私。

自2024年初，npm注册库遭遇大规模垃圾攻击，数万个虚假软件包被注入，攻击者利用印尼人名和食品术语命名，意图淹没注册库，造成资源浪费和供应链风险。

近期全球网络安全事件包括虚假NPM包窃取GitHub凭证、Windows内核高危漏洞、AI企业泄露敏感信息及Chrome修复JavaScript漏洞。攻击者利用新工具进行钓鱼攻击，金融业面临隐性风险，企业需加强安全防护。

发现恶意npm包“@acitons/artifact”，伪装成合法的“@actions/artifact”，专门针对GitHub Actions，已下载超26万次。该包在CI/CD管道中窃取令牌并发布恶意构件。专家建议使用短期令牌并定期更换密钥以防范此类攻击。

近期曝光多个网络安全漏洞，包括runc、NPM库和GlassWorm蠕虫，影响Docker和AI应用。CISA警告三星设备存在0Day漏洞，ChatGPT可能泄露隐私。朝鲜黑客利用谷歌服务进行攻击，欧洲对中国技术的安全担忧加剧。制造业面临AI平台攻击，企业需加强防护。

广泛使用的npm包expr-eval发现严重安全漏洞（CVE-2025-12735），可能导致远程代码执行。攻击者可通过恶意输入执行系统命令，影响AI和NLP应用。开发者应立即升级至expr-eval-fork 3.0.0版本以修复该漏洞。

网络安全研究人员发现，攻击者通过隐形依赖注入技术在npm开源代码中植入恶意代码，导致126个软件包感染。攻击者利用AI生成虚构包名，绕过安全检测，窃取开发者凭证。专家警告npm存在设计缺陷，需改进安全工具以防范此类攻击。

npm 最近推出了可信发布功能，逐步淘汰长期有效的访问令牌，以增强安全性。开发者需在 npmjs.com 配置可信发布者，并更新 GitHub Actions 工作流，使用短效凭据进行身份验证，从而降低令牌泄露风险。

网络安全研究人员发现，网络犯罪分子利用Discord webhook作为隐蔽的命令与控制通道，渗透npm、PyPI和RubyGems等平台，窃取开发者敏感文件。恶意软件包通过重写安装命令，悄然将数据发送至攻击者控制的webhook，从而规避检测，导致数据泄露。

近期发现npm包'fezbox'利用二维码隐藏恶意代码，窃取用户Cookie。攻击者设计高密度二维码以规避识别，并与命令控制服务器通信，展现新型攻击手法。