昨天，国外安全研究员[Tim Perry](https://twitter.com/pimterry)披露了一个NPM包 `pac-resolver`的高危漏洞，该漏洞可以让攻击者构建包含恶意代码的pac文件，而该文件中恶意代码可以在Node.js进程中运行。

2021年12月22日，天问平台“天蚕3.0-log4j2漏洞离线专查版”更新了，在支持（CVE-2021-44228）漏洞检测的基础上，另外支持检测log4j（CVE-2021-45046、CVE-2021-45105）两个漏洞。

PyPI，作为 Python 的官方第三方软件包存储库，一直广受开发者欢迎，所有人都可以下载第三方库或上传自己开发的库到 PyPI，但也正因如此，这些流行存储库时常被滥用，许多恶意软件藏匿其中，加之其官方第三方存储库的身份，开发者容易盲目信任并安装这些来源的软件包。因此一旦有恶意软件成功上传至这些存储库中，造成的杀伤力都不容小觑。