Npm on Jiayun's Bloghttps://xiejiayun.github.io/tags/npm/Recent content in Npm on Jiayun's BlogHugozh-cnMon, 18 May 2026 00:00:00 +0000【好文共赏】CVE-2024-YIKES:Andrew Nesbitt 用一份满分讽刺事件报告,把 npm/PyPI/Cargo 的供应链宿命写成了三幕悲喜剧https://xiejiayun.github.io/post/good-read-nesbitt-cve-2024-yikes/Mon, 18 May 2026 00:00:00 +0000https://xiejiayun.github.io/post/good-read-nesbitt-cve-2024-yikes/<blockquote> <p>📌 <strong>好文共赏 | Editor&rsquo;s Pick</strong></p> <p>原文:<a href="https://nesbitt.io/2026/02/03/incident-report-cve-2024-yikes.html">Incident Report: CVE-2024-YIKES</a> 作者:Andrew Nesbitt(Libraries.io / ecosyste.ms 创始人,前 GitHub / Tidelift,OpenSSF / Alpha-Omega / CHAOSS 工作组贡献者)| 发布于:2026-02-03(5 月 11 日重新登上 HN 首页,单日 708 分 / 179 条评论) | 阅读时长:约 8 分钟</p>【好文共赏】TanStack npm 投毒事件官方复盘:三条独立漏洞如何被串成一条供应链刀锋https://xiejiayun.github.io/post/good-read-tanstack-npm-supply-chain-postmortem/Thu, 14 May 2026 00:00:00 +0000https://xiejiayun.github.io/post/good-read-tanstack-npm-supply-chain-postmortem/<blockquote> <p>📌 <strong>好文共赏 | Editor&rsquo;s Pick</strong></p> <p>原文:<a href="https://tanstack.com/blog/npm-supply-chain-compromise-postmortem">Postmortem: TanStack npm supply-chain compromise</a> 作者:Tanner Linsley(TanStack 创始人 &amp; 主要维护者)| 发布于:2026-05-11 | 阅读时长:约 18 分钟</p>TanStack 被投毒、OpenAI 紧急响应:npm 供应链攻击正在进入'信任凭证劫持'新阶段https://xiejiayun.github.io/post/tanstack-npm-supply-chain-attack-code-signing-open-source-2026/Thu, 14 May 2026 00:00:00 +0000https://xiejiayun.github.io/post/tanstack-npm-supply-chain-attack-code-signing-open-source-2026/<h2 id="一条蠕虫潜入了-javascript-生态的动脉">一条蠕虫潜入了 JavaScript 生态的动脉</h2> <p>2026 年 5 月初,一场代号&quot;Mini Shai-Hulud&quot;(沙丘中的沙虫幼体)的供应链攻击震动了整个 JavaScript 生态。攻击者成功向 TanStack——拥有数百万周下载量的前端基础设施项目——注入恶意代码,并在此过程中窃取了包括 OpenAI 代码签名证书在内的多个高价值凭证。</p>