Npm包安全 on 办公AI智能小助手

警惕 apidoc-core 原型污染漏洞 (CVE-2025-13158)

Thu, 01 Jan 2026 22:03:58 +0800

漏洞详情

包管理器： npm 受影响的包： apidoc-core 受影响版本： >= 0.2.0， <= 0.15.0 已修复版本： 无 严重等级： 严重 (CVSS 评分：9.3)

描述

apidoc-core 0.2.0及后续所有版本中存在原型污染漏洞。远程攻击者能够通过恶意构造的数据结构（包括应用程序处理的“define”属性）修改JavaScript对象原型。这可能导致拒绝服务，或影响那些依赖原型链完整性的应用程序的预期行为。该漏洞影响了 api_group.js、api_param_title.js、api_use.js 和 api_permission.js 工作模块中的 preProcess() 函数。

NPM软件包通过隐写二维码隐藏恶意软件的新型攻击手法

Sat, 27 Sep 2025 07:35:55 +0800

NPM软件包通过隐写二维码隐藏恶意软件

攻击者以一种新颖方式污染了npm注册表上的代码包，将凭证窃取恶意软件隐藏在声称提供JavaScript实用工具的软件包中的隐写QR码内。

根据本周发布的博客文章，Socket Threat Research的研究人员本周初在npm网站上发现了名为"fezbox"的恶意软件包，并请求将其删除以及暂停发布该包的用户。该软件包据称是"按功能模块组织的JavaScript/TypeScript常用辅助函数工具库"，由使用"janedu"网络别名的中文攻击者发布。

恶意npm包窃取用户邮件：Postmark MCP仿冒包安全事件分析

Fri, 26 Sep 2025 05:44:37 +0800

Unofficial Postmark MCP npm silently stole users’ emails

作者：Bill Toulas

2025年9月25日下午04:23

一个仿冒GitHub上官方“postmark-mcp”项目的npm包在最新更新中变更为恶意版本，仅通过添加一行代码就能窃取所有用户的邮件通信。