🤣 不一定客观，不一定理性，个人数字泔水\(⁠◔⁠‿⁠◔⁠)✨ Thinking...https://okhk.pages.devhttps://okhk.pages.dev/posts/6829https://okhk.pages.dev/posts/6829Tue, 09 Sep 2025 07:29:49 GMT<a href="/search/result?q=%23PSA">#PSA</a>: debug、chalk 等 <mark>npm</mark> 包被骇：请检查受影响版本是否被使用。<br /><br />- Qix- 是终端字符处理方面一些著名 <mark>npm</mark> 包的开发者，维护包括 ansi-styles、debug、chalk 等包。其中许多包每周下载量上亿次。<br />- 开发者被 2FA 恢复验证邮件钓鱼，使得骇客得以访问开发者的 <mark>npm</mark> 账号。<br />- 目前有 18 个包确认被注入恶意代码；截至现时，已知被注入恶意代码的版本均被移除。原文列出了这些包的列表。<br />- （ChatGPT 称）恶意代码的主要行为是替换 HTTP 等请求中的数字货币账户地址，使用户的付款等操作的接收者变为骇客提供的地址。<br /><br /><a href="https://github.com/debug-js/debug/issues/1005#issuecomment-3266868187" target="_blank">gh:debug-js/debug#1005</a><br /><br />seealso: <a href="https://news.ycombinator.com/item?id=45169657" target="_blank">HackerNews:45169657</a><br />linksrc: <a href="https://t.me/bupt_moe/2516" target="_blank">https://t.me/bupt_moe/2516</a><br /><br /><a href="/search/result?q=%23npm">#npm</a> <a href="/search/result?q=%23security">#security</a><a href="https://github.com/debug-js/debug/issues/1005" target="_blank"> <div>GitHub</div> <div>(RESOLVED) Version 4.4.2 published to <mark>npm</mark> is compromised · Issue #1005 · debug-js/debug</div> <div>MESSAGE FROM @Qix- : PLEASE SEE #1005 (comment) FOR LATEST UPDATES. Version not present in this repo has been pushed out to <mark>npm</mark>. https://www.npmjs.com/package/debug/v/4.4.2?activeTab=code src/index...</div> </a>