近期，一项由人工智能系统独立完成的安全研究引发了科技界广泛关注。该系统在2025年12月至2026年1月期间，在没有人类干预的情况下，自主执行了完整的安全研究流程，成功发现了Node.js和React这两个全球部署最广泛的J...

近日，广受全球开发者欢迎的开源文本编辑器Notepad++官方发布安全公告，确认其官方网站及软件更新渠道遭遇了一次由国家支持的黑客组织发起的复杂供应链攻击。攻击者通过劫持Notepad++的域名解析或服务器，试图将恶意...

安全公司Jamf Threat Labs近日揭露了一项名为“Contagious Interview”的网络攻击活动，发现朝鲜黑客正将攻击目标扩展至微软的Visual Studio Code（VS Code）这一广受开发者欢迎的代码编辑器。攻击者通过创建并托管恶...

Dependabot作为广泛使用的依赖项更新自动化工具，其核心引擎`dependabot-core`是一个开源的、无状态的Ruby库，专门负责跨多种软件包生态系统（如npm、PyPI、Maven等）跟踪和更新依赖项的具体技术实现。然而，完整的D...

近日，安全研究人员披露了一个名为“Lotusbail”的npm软件包存在恶意行为，该包累计下载量已超过5.6万次。该软件包被证实会暗中窃取用户设备上的WhatsApp聊天记录以及联系人列表，并将这些敏感数据外传到攻击者控制的...

近日，安全研究人员披露了一起影响深远的软件供应链攻击事件的技术细节。攻击者通过利用一个广泛使用的第三方开源库或开发工具链中的漏洞，成功渗透了包括社交媒体平台X（原Twitter）、云服务提供商Vercel、AI编程工...

随着软件供应链攻击事件的频发，NPM生态系统的安全性已成为开发者社区关注的焦点。近日，GitHub上开源项目《npm-security-best-practices》系统性地总结了针对NPM、Bun、Deno、pnpm及Yarn等主流包管理工具的防护策略...

Obsidian团队近日发布技术博客，详细阐释其如何通过极简设计哲学应对日益严峻的软件供应链安全挑战。作为一款基于本地优先设计的知识管理工具，Obsidian通过严格限制第三方依赖、采用沙箱隔离机制和选择性网络连接策...