NPM仓库可用的破坏性恶意软件已经忽略了2年

一些有用的指控不仅在2023年的特定日期上进行，而且在某些情况下，该阶段将于同年7月开始未收到终止日期。潘迪（Pandya）说，这意味着威胁仍然持续存在，尽管在一封电子邮件中，他还写道：“由于所有激活日期已经过去（2023年6月至2024年8月），因此，根据今天的正常使用，任何开发人员都会立即触发有用的破坏载荷，包括系统停止，删除档案和prototype javascript的删除和腐败。”

有趣的是，提交恶意计划的NPM用户，使用录制电子邮件地址1634389031 @ qq（。）com，也下载了工作包，而没有恶意功能。潘迪亚说，提交有害和有用计划的方法有助于建立“合法性的立面”，从而增加了恶意计划不会被忽视的机会。通过电子邮件发送到此地址发送的问题没有收到答案。

恶意计划针对JavaScript开发人员（包括React，Chiew和ablection and fight and time）的一些最重要的生态系统的用户。特定包是：

任何安装了这些软件包之一的人都必须仔细检查他的系统，以确保它们不再起作用。这些包装完美地模仿了合法的开发工具，因此他们很容易保持不安。