JFrog says six malicious npm packages used hidden install-time execution, JSONKeeper fetches, and sandbox checks to enable remote access.
The campaign spans npm, Packagist, Go, and Chrome, using obfuscated JavaScript loaders and VS Code tasks to deliver malware.
使用 可以全局安装 npm i fetch-npm-tar -g, 然后使用 fetch-npm-tar xxxx 也可以临时使用 npx fetch-npm-tar xxxx 可以直接指定包名,包名写法参考 npm install 时的格式,但是目前仅支持下载 npm 服务器上的包,以下是一些写法示例, 支持同时多个,空格隔开: ...