快速检查本地有无被投毒的 NPM 包小工具 (pnpm) | hank9999部落格

今天看到了大量 NPM 包被投毒的消息，为了快速检查有没有拉取过被投毒的包用 Claude Code 写了一个小工具。
可以快速检查 pnpm-lock.yaml 文件里有没有对应版本的包。
详见 Github: npm_package_check: 一个用于检查 pnpm-lock.yaml 文件中包版本的命令行工具

Release 里 有预编译的 Windows x64, 其他平台直接 cargo run 即可。
需要检查的包列表可以从安全平台获得, 比如下面的链接:

• Shai-Hulud: Self-Replicating Worm Compromises 500+ NPM Packages

• Shai-Hulud, The Most Dangerous NPM Breach In History Affecting CrowdStrike and Hundreds of Popular Packages

将包列表直接复制到 txt 中即可, 仓库里有两个示例的 txt 文件。