## Axios 包被攻破 - 摘要 (2026年3月31日) 2026年3月31日,由于维护者账户被攻破,恶意版本的流行 `axios` 包 (1.14.1 和 0.30.4) 曾短暂发布到 npm 注册表中。攻击者通过有针对性的社会工程攻击获取访问权限,并通过依赖项 `[email protected]` 注入远程访问木马 (RAT),影响 macOS、Windows 和 Linux 系统。 恶意软件包发布了大约 3 小时后被移除。**使用过这些版本的用户应检查他们的 `package-lock.json` 或 `yarn.lock` 文件中是否有对 `axios@(1.14.1|0.30.4)` 或 `plain-crypto-js` 的引用,如果发现,应将他们的系统视为已被攻破。** 补救措施包括降级 `axios`、删除 `plain-crypto-js`、轮换所有密钥,以及检查网络日志中是否有到可疑地址的连接。 维护者已擦除所有设备并重置凭据,并正在实施增强的安全措施,包括不可变发布和改进的身份验证 (OIDC 流程),以防止未来发生此类事件。 这凸显了开源维护者容易受到社会工程攻击,以及健全安全实践的重要性。 有关详细指南,请参阅原始报告。
每日HackerNews RSS
## Axios NPM 供应链安全事件 - 摘要
最近一起 Axios NPM 包的入侵事件凸显了 JavaScript 供应链的脆弱性。攻击者通过钓鱼攻击(伪装成合法的会议应用程序)在维护者机器上安装了远程访问木马 (RAT),从而获得了访问权限。然后,他们直接通过 npm CLI 发布了恶意版本的 Axios,绕过了典型的基于 Git 的安全检查,例如提交签名和来源证明。
该事件表明缺乏健全的安全措施,尽管已经有像 OIDC 和提交签名这样的可用工具。虽然 Axios *已经* 采取了一些安全措施,但攻击者利用了从受损机器直接发布的能力。
讨论的重点是需要更强的安全措施,包括强制包签名、改进 npm 安全策略以及提高开发人员对社会工程学策略的认识。一些人认为验证代码的责任在于用户,而另一些人则认为维护者有责任保护他们的项目。一个关键的结论是,仅仅依赖锁定文件是不够的,主动验证依赖项至关重要。该事件还引发了关于保护 npm 生态系统挑战以及苹果操作系统在导致不安全做法中扮演的角色等方面的争论。
该网站正在使用安全服务来保护自身免受在线攻击。您刚才的操作触发了安全解决方案。 提交特定词语或短语、SQL命令或格式错误的数据等行为可能会触发此阻止。
对不起。
对不起。
## 早期科技杂志的回顾
70年代末和80年代拥有充满活力的杂志界,这得益于人们对科技未来乐观的展望。 这份回顾重点介绍了塑造了一代人对新兴个人电脑革命理解的几份重要期刊。
**BYTE** 是其中的佼佼者,涵盖从DIY硬件项目和编程语言(如Smalltalk、LISP和FORTH)到行业新闻的各个方面。 **Dr. Dobbs Journal** 迎合了专业的软件工程师,提供了关于工具和技术的深入文章——在容易获取在线帮助时代之前,这是一份至关重要的资源。
像 **COMPUTE!** 和 **Creative Computing** 这样的杂志吸引了爱好者,提供了需要手动输入的BASIC程序列表——在互联网普及之前,这是学习编码的主要方式。 **Personal Computing** 扩大了范围,涵盖电子表格、游戏以及“个人计算”的概念,*早于*IBM PC。
最后,**OMNI Magazine** 由 *Penthouse* 的出版商创办,独特地融合了科学、科幻和惊艳的视觉效果,提供了一个精致而鼓舞人心的未来愿景。
这些杂志不仅仅是关于技术;它们培养了一种动手、实验性的学习方式,以及一种理解计算机是驾驭快速变化的世界的关键的信念。 它们代表了一个只需要一张图书馆卡、一台雅达利和一种愿意打字的时代。
## 回忆70年代和80年代的计算机杂志
一个Hacker News的讨论强调了几本70年代和80年代广受欢迎的计算机杂志,引发了用户们的回忆。**Dr. Dobb's Journal**脱颖而出,许多人回忆起用它来学习早期的编程技能——一位用户甚至根据杂志中刊登的代码构建了一个C编译器。**Creative Computing**和**Byte**也受到了提及,一些人指出*Byte*最终变得更加主流。
除了纯粹的技术出版物外,由*Playboy*的创办人创立的**OMNI**杂志,因其科幻小说、奇幻艺术(尤其是H.R. Giger的作品)以及对太空探索的报道而受到赞扬。还有一些小众杂志也被提及,包括**The Transactor**(专注于Commodore 64)、**Kilobaud**、**Hardcore Computist**(以规避软件复制保护而闻名)和**2600**。
用户们感叹难以获取一些杂志的旧期,尽管互联网档案提供了一些有限的扫描。讨论还涉及像*Playboy*和*Penthouse*这样杂志出人意料地拥有优秀的虚构作品和技术评论,以及地下杂志**Phrack**。许多评论者分享了个人轶事,讲述这些杂志如何塑造了他们早期与计算机的经验,并培养了一种社区意识。
## 编程的未来:人类仍然掌控方向 尽管像Claude和Codex这样的人工智能编码助手发展迅速,但人类程序员的角色并未消失——它正在*演变*。虽然人工智能现在可以快速生成代码,甚至可以从基本提示中创建功能性应用程序,但目前它最有价值的是作为程序员的*工具*,而不是替代品。 炒作往往集中在人工智能的成功上,而忽视了频繁的失败和对大量人工监督的需求。人工智能生成的代码通常需要校正、完善,并遵守既定的编码标准才能真正有效。一个关键点是,在人类审查和修复之前,人工智能的输出不能算是“作品”。 那些拥抱人工智能,同时保持批判性思维的程序员,将能够独特地利用其力量。他们可以增强技能,提高生产力,并最终产生更高质量的结果。这一原则不仅适用于编程,也适用于任何创意领域——那些熟练地将人工智能融入其工作流程的人可能会蓬勃发展,而抵制则可能导致过时。未来不是人类*对抗*人工智能,而是人类*与*人工智能。
对不起。
Maze Algorithms (1997)
27 天前
对不起。
(Empty input provided. There is nothing to translate.)
对不起。
## 美国法律现在在Git中:一种新的法律透明度方法 受西班牙将法律法规版本控制在Git中的倡议启发,开发者v1d0b0t和nickvido迅速创建了一个Git仓库,其中包含整个美国法典——所有54个标题——以结构化的Markdown格式呈现。该项目仅用48小时完成,旨在提供美国法律变更的透明且易于追踪的历史记录。 传统上,理解法律修正案需要破译诸如“删除‘损害’并插入‘伤害’”之类的指令。使用Git可以提供清晰的“差异”(diffs),显示具体的变化内容和时间,使用户能够浏览法典在任何时间点的状态。这建立在之前的失败尝试之上,提供了结构化的元数据和对持续维护的承诺。 至关重要的是,该项目并非手动编写代码。它是通过“Dark Factory”(一个由人工智能驱动的自主开发流程)构建的,所有阶段——规范、安全审查、测试和实施——均在GitHub issue中公开记录。这个过程甚至识别并修复了安全漏洞。 该团队计划导入法典的历史快照,并最终将法案表示为pull request,模拟软件开发流程。这种创新方法将法律视为代码,为追踪法律演变提供了前所未有的清晰度和问责制。
对不起。
## 队列的幻象:延迟陷阱
本文探讨了在系统中利用队列来应对流量高峰的陷阱,尽管队列最初看起来很有吸引力。虽然队列*似乎*可以避免容量问题,但它们只是*延迟*了问题,通常会导致用户体验到大幅增加的延迟。
核心问题在于:即使是短期的过载也可能产生巨大的队列。流量激增两倍可能导致请求等待时间长达一小时,即使激增已经消退。不同的队列选择方法(FIFO、随机、加权)仅仅是*重新分配*了痛苦——它们并不能消除痛苦。
作者认为队列提供了一种虚假的安全性。最终,唯一的真正解决方案是增加容量。虽然成本高昂,但它比让用户遭受不可预测的、可能很长的延迟要好。可见的队列(例如得来速)会设定期望;隐藏的软件队列会创造一种令人沮丧的“神秘盒子”体验。
结论?停止依赖队列作为权宜之计,并优先构建具有足够容量以处理需求的系统,确保一致的性能并避免未来的麻烦。
对不起。
最近的阿耳忒弥斯2号发射吸引了数千人前往佛罗里达州的航天海岸,唤起了人们对阿波罗时代的怀旧之情,但也夹杂着现代的怀疑。尽管此前公众的认知度出乎意料地低,人群还是聚集在一起,忍受着天气和期待,见证了太空发射系统的强大升空——这是一枚耗资巨大但视觉效果 впечатляющая ракетa,采用较旧的技术制造。 该任务旨在让宇航员在50多年后首次进入月球轨道,这一壮举受到与中国地缘政治竞争以及对长期承诺的质疑的影响。虽然美国国家航空航天局希望阿耳忒弥斯计划能够建立可持续的月球存在,但人们仍然存在疑虑,让人回想起最初阿波罗计划未能兑现的承诺。 发射本身就是一场壮观的景象,震撼大地,令人敬畏。包括第一位黑人男性和第一位非美国人进入地球轨道在内的多样化乘组体现了包容性的美好愿景。然而,事件的展开背景是全球冲突和政治分裂,促使人们反思这次“重演”的太空探索是否能够带来与前一次一样的统一文化时刻。最终,发射提供了一种短暂的共同惊奇感,随着火箭消失在天空中,留下围观者思考接下来会发生什么。