npm

在5月第一個星期的資安新聞裡，從事竊密、暗中埋伏行動的資安事故占有相當高的比例，而且，駭客運用了過往可能較少出現的工具，或是較為罕見的手法，使得組織更加難以防範

駭客利用Google的SMTP中繼服務來隱藏釣魚郵件的手法，在4月份出現升溫的現象；廣受嵌入式系統採用的程式庫uClibc、uClibc-ng，存在的DNS漏洞恐影響逾200個廠牌設備

從國際整體的資安態勢而言，勒索軟體駭客組織Conti疑似另起爐灶的情形，引起研究人員的注意；而在國內的資安新聞裡，上市櫃公司為了尋求資安長之間彼此互通有無，特別組成了聯盟來交流相關經驗

有一起大型的DDoS攻擊事件很可能與殭屍網路Emotet有關；再者，研究人員發現NPM市集的漏洞也相當值得留意

勒索軟體駭客Lapsus$先後公布入侵微軟、Okta的螢幕截圖，並聲稱取得微軟部分產品的原始碼；再者，則是開源的軟體管理系統Chocolatey，罕見地被用於法國的政府機關與企業，而引起研究人員關注

NPM套件node-ipc被維護者添加額外相依項目Peacenotwar，來表達反對俄羅斯入侵烏克蘭的立場，而類似事件一再發生，凸顯出軟體供應鏈易遭攻擊的問題

8名來自不同公司的工程師，在GitHub上重新創建Faker.js儲存庫，要接續原專案作者的維護工作

NPM線上套件庫兩個受歡迎的函式庫遭刻意破壞，原本媒體以為是駭客攻擊事件，但追查發現兇手正是函式庫作者本人，原因是作者為了生計決定不再無償維護這些熱門專案，使用的企業必須付費