npm 供應鏈攻擊從頭談起：原理、手法與防禦方式 (opens in new tab)

Covers 2 stories including JSR: The open-source package registry for modern JavaScript and TypeScript

2026 年 5 月 19 日，拿來做圖表的套件 antv 遭到攻擊，最新版本被植入惡意程式。 5 月 13 日，前端圈很熱門的 TanStack 系列 repo 也遭到攻擊。 4 月 1 日，每週有一億次下載的 axios 也同樣被攻擊，被發布了惡意版本。大概每隔一個月或甚至一週就會看到供應鏈攻擊的新聞，而被攻擊的對象也不只有 npm，Python 的 PyPI、.NET 的 NuGet、甚至是 Docker Hub 或是開發者在用的 VSCode extension，也全部都是目標。在這個前提下，開發者該如何保護自己？這篇主要來談談針對 npm 的供應鏈攻擊，先從原理開始聊起，接著來談談攻擊手法，以及防禦方式。

Read the original article