KOI的一篇文章，揭露了npm依賴包又一次被攻擊的問題。詳情可查看底部的原文地址。

之前的npm可看這裏《你的項目是否正在使用“帶毒”的chalk npm包？》。

這裏簡單説下幾個點：

1、為什麼惡意的依賴包能上傳到npm？

2、這些依賴包是怎麼執行的？

3、這些依賴包想竊取什麼？

4、竊取到信息後黑客怎麼拿到？

5、怎麼防禦？

1、為什麼惡意的依賴包能上傳到npm？

npm會對上傳的包都進行安全掃描。

主要是下面這幾個：

1.1 掃描項目依賴中的已知漏洞

1.2 提供漏洞等級和修復建議

1.3 支持自動修復功能

但這些惡意的依賴包相當聰明，單看這個包本身，是沒有任何問題的。

詳情：隱藏性很高的npm惡意依賴包