近期，关于恶意npm库的警告引发了广泛关注，数千名开发者在不知情的情况下下载了伪造的开源工具。这些工具冒充合法npm包，如type-eslint和@types/node，实则含有恶意代码，旨在窃取用户信息或控制计算机。

近年来，开源软件的流行为开发者提供了便利，但与此同时，也带来了不容忽视的安全隐患。最近，Sonatype的一项研究显示，数千名用户下载了冒充合法npm库的恶意软件包，尤其是一些伪造的库如@type_eslinter/eslint和types-node ...