node-ipc 被曝出作者故意添加了恶意代码，（旧版本）会在用户的桌面创建 WITH-LOVE-FROM-AMERICA.tx

node-ipc 被曝出作者故意添加了恶意代码，（旧版本）会在用户的桌面创建 WITH-LOVE-FROM-AMERICA.txt 这个文本文档，（新版本）当用户的 IP 地址位于俄罗斯或者白俄罗斯时，会使用 这个 emoji 覆盖用户的所有文件，目前原作者正在疯狂删除提出质疑的 issue 中的评论。

AI 开源开发平台 Hugging Face 存在托管的恶意代码

AI 开源开发平台 Hugging Face 存在托管的恶意代码 安全公司 JFrog 的研究人员周四在一份报告中表示，上传到人工智能开发平台 Hugging Face 的代码在用户计算机上秘密安装了后门和其他类型的恶意软件。研究人员表示，他们总共发现大约 100 个提交内容在下载并加载到最终用户设备上时执行了隐藏的和不需要的操作。 大多数被标记的机器学习模型（所有这些模型都没有被 Hugging Face 检测到）似乎是研究人员或好奇的用户上传的良性概念证明。研究人员表示，其中大约10个是“真正恶意的”，因为它们在加载时执行的操作实际上损害了用户的安全，例如创建一个可以从互联网远程访问并完全控制用户设备的反向 Shell 。 Hugging Face 已删除了所有 JFrog 标记的模型。这是继 PyPI, NPM 和 GitHub 之后又一个被发现受到水坑攻击（Watering Hole Attack）的开发平台，虽然并不让人太意外。