栗子前端技术周刊第 123 期 - axios 包遭入侵、Babylon.js 9.0、Node.js 25.9.0...

🌰栗子前端技术周刊第 123 期 (2026.03.30 - 2026.04.05)：浏览前端一周最新消息，学习国内外优秀文章，让我们保持对前端的好奇心。

📰 技术资讯

1. axios 包遭入侵：axios 包遭入侵，恶意版本植入木马依赖。Axios 是一款每周下载量超 1 亿次的 HTTP 请求库，其高下载量主要源于长期积累的广泛使用率。攻击者利用这一点发布了带有恶意依赖的版本，该依赖包含远程控制木马（不过 Axios 自身代码库并未受损）。此次事件影响重大，因为即便你不直接使用 Axios，项目中的依赖包也可能间接引入它。恶意版本为：axios@1.14.1、axios@0.30.4。

2. Babylon.js 9.0：Babylon.js 9.0 发布，包括全新的集群光照系统、基于节点的粒子编辑器、体积光照、高级高斯溅射技术等更多特性。

3. Node.js 25.9.0 ：Node.js 25.9.0（Current 版本）已发布，新增用于设置进程最大堆内存大小的 --max-heap-size 选项，James Snell 实验性的 "增强版流 API" 以 stream/iter 模块形式正式落地，同时还带来了测试运行器模块模拟功能的改进。

📒 技术文章

1. Your Options for Preloading Images with JavaScript：使用 JavaScript 预加载图片的几种方案 ------ 实现这一需求有多种方法，正如作者所指出的，这可能"出乎意料地棘手...而最佳选择很大程度上取决于具体场景"。

2. A Gentle Intro to npm Workspaces (With Visuals)：npm Workspaces 入门详解 ------ Workspaces 可让你在单个代码仓库中管理多个软件包，并将本地包相互关联，使其能够按包名直接互相导入，npm 会在安装时对兼容依赖进行提升放置与去重处理。

3. 前端工程师必备的 10 个 AI 万能提示词：文中整理了 10 个前端专属 AI 万能提示词，覆盖前端开发全场景------组件开发、Bug 修复、代码重构、样式优化、工程化配置，全部复制就能用，不用自己琢磨，新手也能轻松上手。

🔧 开发工具

1. Pretext：一款多行文本测量与布局库。前 React 核心团队成员程路（Cheng Lou）三天前发布的这条 X 推文引发轰动，自发布以来获得了 2200 万次曝光，相关代码仓库也收获了 2.5 万星标。为何反响如此热烈？因为人们对网页实现实时布局的潜力感到无比兴奋。

2. Knip v6：可用于查找并删除项目中未使用的文件、导出项及依赖包。v6 版本集成了 Oxc，性能提升 2 至 4 倍（处理 Astro 项目仅需两秒），且基本可以无缝升级。

3. ESLint Markdown Plugin 8.0：使用 ESLint 对 Markdown 文档进行代码检查。

🚀🚀🚀 以上资讯文章选自常见周刊，如 JavaScript Weekly 等，周刊内容也会不断优化改进，希望你们能够喜欢。

💖 欢迎关注微信公众号：栗子前端