在开源生态高度繁荣的今天，一行代码、一个权限、一款插件，都可能成为引爆供应链安全危机的导火索。本文作者亲历了自己维护 8 年的知名开源项目 Neutralinojs 遭遇恶意攻击，且他的经历并非个例，而是一个典型信号：供应链攻击已经从“攻击代码”，演变为“攻击信任关系”。它不再依赖传统Bug，而是潜伏在协作者权限、开发流程乃至 AI 插件生态之中，悄无声息地发生。 很多时候，我们总是担心想象中的风 ...

LeakNet勒索软件组织采用ClickFix社会工程学战术，通过被攻陷网站作为初始访问方法。该技术诱使用户手动运行恶意命令来解决虚假错误，改变了依赖传统方式获取初始访问的做法。攻击的另一重要特点是使用基于Deno JavaScript运行时构建的分阶段命令控制加载器，直接在内存中执行恶意载荷。LeakNet于2024年11月首次出现，自称"数字监督者"。

快科技3月17日消息，虽然Electron架构因高内存占用一直被玩家诟病，甚至连JavaScript创始人也曾警告过“过度依赖Web UX而忽视原生体验”的风险，但微软似乎并不打算在Windows 11中做出妥协。

Vite 8.0发布，采用Rust构建的Rolldown作为单一打包工具，取代esbuild和Rollup。Rolldown基于Oxc构建，兼容现有插件API，构建速度比Rollup快10-30倍。新版本还包括DevTools构建分析、WASM SSR支持等功能。该项目由Vue.js创始者尤雨溪创立的Void Zero公司赞助，旨在统一JavaScript生态系统工具链。

IT之家3 月 9 日消息，据安全媒体 Bleeping Computer 报道，维基媒体基金会（Wikimedia Foundation）披露旗下维基百科近期遭遇网络攻击事件，多个百科页面遭到一种具备自我传播能力的 JavaScript 蠕虫入侵，为防止攻击蔓延，开发团队暂时限制了部分编辑功能，并紧急恢复受影响的页面内容。 据报道，本次攻击事件疑似是维基媒体基金会员工误触发了一段早前被黑客存放在 ...

IT之家2 月 18 日消息，网络安全公司 Intruder 上月发布报告，深度扫描全球 500 万款应用，发现超过 4.2 万个机密信息（Secrets）以明文形式暴露在 JavaScript 文件中。 IT之家援引博文介绍，本次报告目标重点排查隐藏在 JavaScript 打包文件中的机密信息，扫描生成的纯 ...