NPM惊现长期潜伏破坏性恶意包，静默运行长达两年

安全公司Socket发现8个伪装成常用开发工具的NPM恶意软件包，隐藏于开源生态中超过两年，总下载量超6200次。这些包可在特定日期触发，执行Vue文件删除、系统关闭、浏览器存储破坏等操作，影响包括React、Vue与Vite开发者。部分恶意代码仍可能在今日触发。上传者同时发布无害包以混淆视听，提醒开发者尽快检查是否存在以下包：js-bomb、vite-plugin-vue-extend 等。此事件凸显开源软件安全审查的紧迫性。