栗子前端技术周刊第 98 期 - NPM 生态遭受攻击、Rspack 1.5.3、Storybook 10 beta...

🌰栗子前端技术周刊第 98 期 (2025.09.08 - 2025.09.14)：浏览前端一周最新消息，学习国内外优秀文章视频，让我们保持对前端的好奇心。

📰 技术资讯

1. NPM 生态遭受攻击：网络安全公司 Aikido Security 披露了 npm 生态有史以来最大规模的供应链攻击事件。攻击者通过钓鱼邮件入侵长期受信任的维护者 qix 的账户，篡改了包括 chalk、debug 和 ansi-styles 在内的 18 个包，这些软件包每周总下载量超过 20 亿次。恶意代码会通过流量拦截来攻击安装 MetaMask 数字钱包浏览器插件的用户，从而实现盗币目的。

2. Rspack 1.5.3：Rspack 1.5.3 发布，其中亮点是实现了更高级的 tree-shaking，通过成员表达式分析，实现了针对动态导入的高级 tree-shaking 能力。

3. Storybook 10 Beta：Storybook 10 已进入 Beta 测试阶段，其最重大的变更是仅支持 ESM (ES Modules) 格式。

4. Node.js v24.8.0：此次更新包括：支持 HTTP/2 网络检查、Crypto 模块增强、worker 模块新增 CPU 性能分析 API 等等。

5. Deno 2.5 ：Deno 2.5 发布，现在你可以在 deno.json 中创建权限集合，Deno.test 获得了一些开发者体验改进，同时 deno bundle 提供了编程式 API 以便开发者可以通过脚本实现应用程序的打包。

📒 技术文章

1. The CSS Handbook, 2025 edition：2025 年 CSS 手册 - 这本内容全面的指南既包含选择器、盒模型等基础知识，也涉及 CSS Grid、响应式设计、动画，以及可维护代码的最佳实践等高级主题。

2. 双 Token 认证机制：从原理到实践的完整实现：在现代 Web 应用中，用户认证是保障系统安全的核心环节，双 Token（Access Token + Refresh Token）机制凭借其在安全性与用户体验之间的出色平衡，成为主流的认证方案。本文将结合完整的 Express 后端与 Vue 前端代码，详细解析双 Token 机制的实现原理与实践细节。

3. 前端必修课：万字长文带你搞定浏览器插件开发：文中介绍了插件概念及用途，阐述核心文件结构，如 manifest.json 等各文件作用，最后通过实战案例来贯穿整个流程。

🔧 开发工具

1. React Bits：100+ 创意动态 React 组件。

2. Pokemon Cards：宝可梦卡牌 CSS 全息特效，作者通过一系列演示案例，运用高级 CSS 技术打造出相当精准的特效，包含 3D 变换、CSS 渐变、混合模式等多种技法。

3. CSS Bed：各类 CSS 框架效果展示网站。

🚀🚀🚀 以上资讯文章选自常见周刊，如 JavaScript Weekly 等，周刊内容也会不断优化改进，希望你们能够喜欢。

💖 欢迎关注微信公众号：栗子前端