发现恶意 npm 包 'esbuild-linux-arm32' — 建议立即审计和清理
关键更新
在 2025 年 8 月 14 日,一个名为 esbuild-linux-arm32 的 npm 包被识别为包含恶意代码 (OSV 条目 MAL-2025-19818)。这不是上游 esbuild 代码库中的错误,而是一个恶意或被破坏的包,在 npm 命名空间中,可以通过松散的依赖关系图、镜像/代理配置错误或粗心的安装被引入到项目中。
重要性
esbuild 嵌入在许多前端工具链中(Vite、框架、构建工具)。在你的依赖关系图中,恶意的 esbuild-* 二进制包意味着攻击者可以在安装过程中或当开发服务器/二进制文件运行时执行任意代码,这可能导致代码被窃取、秘密外泄或供应链持久性。实际的立即行动:检查你的锁定文件和 node_modules 中是否有任何你未预期的 esbuild-* 包,从固定的锁定文件运行 npm ci(或等效命令),而不是安装不受信任的新包,移除任何 esbuild-linux-arm32 包,更换可用的凭证,并在 CI 中添加包/名称白名单或包来源检查。对于团队,强制使用严格的锁定文件,缓存或镜像受信任的包,并添加自动扫描以检测恶意/不匹配的包名称。
来源
继续阅读
Node.js v25 定于 2025‑10‑15 发布 — semver‑major 版本即将到来
2025年9月30日Node.js v25 定于 2025 年 10 月 15 日发布(提交截止日期 2025‑09‑15)。团队应针对新主要版本运行 CI,验证本地模块,并准备金丝雀部署。
Azure Functions Proxies:社区支持将于2025‑09‑30结束 — 立即迁移离开Proxies
2025年9月29日Azure宣布Azure Functions Proxies将在2025‑09‑30后不再支持;仍在使用Proxies的团队必须立即清点并迁移到受支持的API接口(APIM、Front Door或轻量级反向代理)。
NodeShield: 运行时 SBOM 强制执行 (CBOM) 以微不足道的开销限制 Node.js 的供应链攻击
2025年9月28日一篇新论文介绍了 NodeShield,这是一种运行时强制执行系统,使用扩展了每个依赖项能力的 SBOM(CBOM)来防止 Node.js 中的供应链滥用,效果约为 98%,开销小于 1 毫秒。