不要急着 npm install - Claude Code 泄露事件里的抢注风险
- 内容介绍
- 文章标签
- 相关推荐
问题描述:
--【壹】--:
--【贰】--:
--【叁】--:
--【肆】--:
--【伍】--:
--【陆】--:
--【柒】--:
Claude Code 源码泄露后,很多人开始尝试本地编译和安装。
但一个容易被忽视的风险是:部分疑似内部依赖名已经被他人抢注,存在供应链投毒窗口。
例如这两个近期注册的包:
https://www.npmjs.com/package/modifiers-napi
https://www.npmjs.com/package/color-diff-napi
如果你正在复现相关源码,建议不要直接执行 npm install,先锁定依赖来源并逐项校验包的发布者、发布时间和内容,避免在安装阶段引入恶意依赖。
image1092×1766 175 KB
网友解答:--【壹】--:
感谢提醒
--【贰】--:
好家伙 搞这么快
--【叁】--:
还是等等大佬们的分析
--【肆】--:
嚯 这操作
--【伍】--:
安全也很重要啊
--【陆】--:
所以人家捞偏门是真的猛,跟条件反射一样。
--【柒】--:
不得不说这帮子搞灰产的脑子就是转的快
问题描述:
--【壹】--:
--【贰】--:
--【叁】--:
--【肆】--:
--【伍】--:
--【陆】--:
--【柒】--:
Claude Code 源码泄露后,很多人开始尝试本地编译和安装。
但一个容易被忽视的风险是:部分疑似内部依赖名已经被他人抢注,存在供应链投毒窗口。
例如这两个近期注册的包:
https://www.npmjs.com/package/modifiers-napi
https://www.npmjs.com/package/color-diff-napi
如果你正在复现相关源码,建议不要直接执行 npm install,先锁定依赖来源并逐项校验包的发布者、发布时间和内容,避免在安装阶段引入恶意依赖。
image1092×1766 175 KB
网友解答:--【壹】--:
感谢提醒
--【贰】--:
好家伙 搞这么快
--【叁】--:
还是等等大佬们的分析
--【肆】--:
嚯 这操作
--【伍】--:
安全也很重要啊
--【陆】--:
所以人家捞偏门是真的猛,跟条件反射一样。
--【柒】--:
不得不说这帮子搞灰产的脑子就是转的快