ListenHub CLI 发布并开源了。npm install -g 装完就能用，各种 Agent 里直接跑。这次除了之前就有的播客、TTS、解说视频，新加了两个能力：AI 音乐生成和 PPT ...

2026 年 3 月 31 日，npm 生态系统遭遇了最严重的供应链攻击之一：Axios这个每周下载量超过 1 亿次的 HTTP 客户端库的两个版本被发现包含一个完全可用的远程访问木马。受影响的版本 axios@1.14.1 和 axios@0.30 ...

网络安全研究人员在npm注册表中发现了36个恶意包，这些包伪装成Strapi CMS插件，但携带不同的有效载荷，用于Redis和PostgreSQL利用、部署反向Shell、收集凭据并投放持久化植入程序。

此次 Axios 供应链攻击事件再次凸显了 npm 生态系统中依赖管理和安全审计的重要性。开发者在快速开发的同时，必须加强对依赖项的审查，使用版本锁定，并禁用不必要的脚本。 每次“一键安装”都可能带来风险，开发者需要时刻保持警惕。 此外，加强对 npm 账号的管理，包括启用双因素认证，也是降低风险的有效措施。这次事件也提醒我们， 供应链安全 已经成为软件开发中不可忽视的关键环节。 随着 npm ...

Axios库遭黑客劫持，npm被植入远程木马！恶意版本axios@1.14.1/0.30.4通过虚假依赖执行后门脚本，窃取系统权限。立即检查版本 ...

Anthropic旗下专有的 Claude Code 命令行工具（CLI）完整 TypeScript 源码，疑似因 npm 包配置失误，经由其 npm 注册表意外泄露。 事件最早由安全研究员邵超凡（Chaofan Shou）披露，他在社交平台 X 上发文称，“Claude Code 源代码通过其 npm 注册表中的 map 文件泄露”，并指向一份可直接下载的源码压缩包链接，该压缩包托管在 Anth ...

IT之家 3 月 31 日消息，安全研究机构 StepSecurity 昨天发文称，主流 JavaScript 库 Axios 的两个 npm 版本 axios@1.14.1、axios@0.30.4 被恶意植入远程控制代码。 IT之家在此援引 StepSecurity，黑客劫持了 Axios 核心维护者“jasonsaayman”的 npm 账号，将邮箱替换为匿名的 ProtonMail ...

IT之家3 月 31 日消息，安全研究机构 StepSecurity 昨天发文称，主流 JavaScript 库 Axios 的两个 npm 版本 axios@1.14.1、axios@0.30.4 被恶意植入远程控制代码。 IT之家在此援引 StepSecurity，黑客劫持了 Axios 核心维护者“jasonsaayman”的 npm 账号，将邮箱替换为匿名的 ProtonMail ...

近日，安全领域传来令人震惊的消息，主流Java库Axios的两个npm版本遭到恶意植入远程控制代码的攻击。这一事件不仅暴露了npm供应链的脆弱性，也再次提醒了开发者们对开源依赖的安全性保持高度警惕。 黑客首先发布了plain-crypto-js@4.2.0和plain-crypto-js@4.2.1两个版本 ...

AI领域近日掀起轩然大波，开源社区因一则意外泄露事件陷入狂欢。某知名AI公司开发的核心产品Claude Code源代码被曝通过npm注册表意外公开，相关话题在技术论坛引发数百万次浏览，开发者们争相克隆分析这个被视为"生产级AI智能体框架标杆"的代码库。