## NPM 包安全漏洞 超过 300 个 NPM 包已被感染，影响了多个项目，包括 PostHog。PostHog 团队确认其 Node、JS、React Native 和 Docusaurus SDK 的版本已被入侵（受影响的版本列在评论中）。他们已轮换凭据，取消发布受影响的包，并发布了更新的版本——强烈建议用户立即更新。 该事件引发了关于 Node.js 生态系统安全以及与 NPM 依赖项相关的风险的争论。一些人质疑由于频繁的安全问题而使用 Node.js 的可行性，而另一些人指出，其他软件包仓库也存在类似的风险，并且受影响的软件包大多是晦涩或子依赖项。 密钥泄露的根本原因仍在调查中，PostHog 承诺发布事故后分析报告并在其状态页面上提供更新。进一步受影响的软件包的可能性仍然令人担忧。