朝鲜黑客组织利用新型恶意软件XORIndex进行“传染性面试”攻击，渗透npm软件包注册表，上传67个恶意包，其中28个携带XORIndex，目标包括开发者和加密货币持有者，数据被窃取并上传。安全专家建议提高警惕，防范软件供应链攻击。

网络安全研究人员发现与朝鲜相关的35个恶意npm包，这些包通过虚假招聘信息诱骗开发者下载，累计下载量超过4000次。恶意包包含HexEval加载器，能够收集主机信息并部署窃取程序BeaverTail，进一步下载Python后门InvisibleFerret，允许攻击者远程控制受感染主机，显示出朝鲜黑客的复杂攻击手法。

Deno 2.3 更新支持本地 NPM 包，改进了 deno compile，允许本地测试和开发，新增 FFI 支持以使用本地库，优化可执行文件大小，同时更新了 deno fmt 和加快了依赖安装速度。

PoCGen是一款自动生成npm生态系统漏洞利用代码的工具，结合了大语言模型与静态/动态分析技术。它通过四个阶段从CVE描述生成PoC代码，成功率高于其他工具，帮助开发者和安全团队更快理解和解决漏洞，现已公开供研究使用。

全球网络安全事件频发，包括恶意浏览器扩展、供应链攻击和勒索软件等，攻击者利用新技术诱骗用户并窃取敏感信息，企业需加强防护措施。

近期，网络安全研究人员发现GlueStack遭受供应链攻击，多个软件包被植入恶意软件，影响下载量近百万次。攻击者可执行命令、窃取信息或关闭服务。安全公司Aikido已将受影响版本标记为弃用，建议用户回滚至安全版本。同时，发现两个伪装成合法工具的npm包，具备信息窃取和系统破坏功能。

近期在npm、Python和Ruby软件包仓库中发现多组恶意组件，这些组件通过伪装和流量重定向实施供应链攻击，窃取加密货币和Telegram数据，显示出开源生态系统的安全隐患。安全机构报告称，攻击者利用地缘政治事件进行定向攻击，部分恶意组件已被下架。

Checkmarx Zero的研究揭示了一种针对Windows和Linux系统Python与NPM用户的恶意软件攻击。攻击者通过域名抢注和名称混淆，诱骗用户下载伪装成合法软件的恶意包，这些包可能导致远程控制和敏感数据泄露。尽管恶意软件包已被下架，Checkmarx仍建议组织加强防范，检查应用代码并清理私有存储库。

开发者常用npm安装包，但往往忽视已安装内容。使用“npm list”命令可以查看全局和本地包，有助于调试、审计和理解项目依赖，从而维护开发环境。

JavaScript开发者常用的包管理器有NPM、Yarn和PNPM。NPM使用广泛，但在大型项目中速度较慢。Yarn提供更快的安装和更好的用户体验，适合大型项目。PNPM通过减少重复依赖，提高速度和存储效率，成为2025年的最佳选择。选择包管理器时应考虑项目需求和开发者偏好。