#优质博文 #设计 #配色 #UI #CSS #color #tools
ColorMate – Free Color & Gradient Generator Tools

AI 摘要：ColorMate 是一款面向设计师与开发者的免费在线配色工具，可快速生成符合无障碍标准（Accessibility）的调色板。用户可提取图片配色、即时预览 UI 效果、进行对比度测试（Contrast Checker），并将结果以 HEX、CSS 或 PNG 格式导出。它还提供由 AI 命名、锁定颜色及实时生成新方案的功能，并收录多种热门配色示例。

#优质博文 #安全 #供应链攻击 #VSCode
GlassWorm: First Self-Propagating Worm Using Invisible Code Hits OpenVSX Marketplace

AI 摘要：本文由 Koi Security 团队发布，揭示了一种前所未有的供应链攻击——GlassWorm。该蠕虫针对 OpenVSX 与 VSCode 插件生态，通过不可见的 Unicode 字符隐藏恶意代码，使用 Solana 区块链和 Google Calendar 作为不可下线的指挥控制系统（C2），可远程访问、窃取开发者凭证、劫持加密钱包并自我传播。

[以下是方便搜索索引的大纲(AI 生成)，请读原文]

1. 攻击概览与事件背景
• GlassWorm 继 Shai Hulud 之后成为第二个自我传播的供应链蠕虫，首次锁定 OpenVSX 市场
• 感染 7 个扩展、下载量约 35,800 次，并在 VSCode 官方市场出现活跃样本
• 攻击结合区块链、Unicode 隐蔽代码与去中心化通信机制

2. 隐形攻击机制：Unicode 差异选择器
• 攻击者在 JavaScript 源码中嵌入不可显示的 Unicode Variation Selectors
• 人眼与静态扫描均看不到恶意逻辑，但解释器可执行
• 此方法突破代码审查和 Git diff 可见性，暴露软件供应链审查的盲点

3. 区块链 C2 机制（Solana Blockchain）
• 利用 Solana 交易的 memo 字段存储下一阶段载荷链接
• 特性：不可变、匿名、抗封锁、难以审查、成本极低
• 攻击者可频繁更新交易实现动态替换，完全绕过传统安全封控

4. 三级指挥控制体系
• 主 C2：Solana blockchain 交易地址
• 二级：直接 IP （217.69.3.218）传输加密 payload
• 三级：Google Calendar 用作备用 C2，通过事件标题存储 Base64 链接
• 实现“无法下线”的混合基础设施体系

5. 凭证与资产窃取阶段（Credential Harvest）
• 定向获取 NPM / GitHub / Git / OpenVSX 凭证
• 搜索并攻击 49 种加密货币钱包（MetaMask / Phantom 等）
• 使用 AES 加密及 HTTP 动态密钥进行安全通信以强化隐蔽性

6. ZOMBI 模块：完全远控与渗透功能
• SOCKS Proxy：将开发者工作机转为攻击代理节点
• WebRTC P2P：实现实时对等通信，通过 NAT 穿透
• BitTorrent DHT：分布式指令广播，无中心可拔除节点
• HVNC（Hidden Virtual Network Computing）：隐藏桌面控端操作，可完全远程访问
• 支持模块化更新与自愈机制，实现长期驻留

7. 自我传播（Self-Propagation）机制
• 利用窃取的凭证自动入侵更多扩展与仓库
• 无需用户交互，通过自动更新实现连锁感染
• 模仿生物病毒复制循环，实现开发生态层面的指数级扩散

8. 攻击现状与影响评估
• 10 月中旬已造成全球范围感染
• 五个扩展仍在续散布恶意版本
• 受害系统正在被远程控制、挖掘凭证、充当犯罪代理节点

author Koi Security Research Team

#优质博文 #JavaScript #前端 #新特性 #浏览器
好东西。
URLPattern is now Baseline Newly available

AI 摘要：介绍了已进入 Baseline 的新浏览器功能 URLPattern API，它为 URL 匹配和路由提供了标准、简洁且高性能的原生解决方案。过去开发者需使用复杂的正则表达式或第三方库来解析和提取 URL 参数，而 URLPattern 使得这些操作更清晰、可维护且无需额外依赖。

[以下是方便搜索索引的大纲(AI 生成)，请读原文]

1. URLPattern 基础与核心概念
• 介绍 URLPattern API 的推出背景：取代传统正则匹配与第三方路由库。
• 提供新 URLPattern 接口，可通过 .test() 与 .exec() 操作直接匹配并提取参数。

2. 基本 URL 模式匹配
• 对比旧方法（URL + 正则）与新 API 的简化写法。
• 展示匹配 /users/:id 的例子，体现代码可读性和简洁性。

3. 提取动态参数（Dynamic Parameters）
• 传统方法依赖匿名的正则捕获组，易出错。
• URLPattern 支持命名参数，可通过结构化对象获取（如 result.pathname.groups）。
• 示例：提取书籍分类 category 与 id。

4. 复合匹配（Compose Multipart Matches）
• 传统方式需多处判断主机名与路径。
• URLPattern 原生支持同时匹配多个部分，例如 hostname + pathname。
• 示例：匹配 .cdn.com 下的 /images/ 文件。

5. 减少项目依赖（Project Dependencies）
• URLPattern 是内置能力，无需加载第三方库，减少 bundle 体积与维护成本。
• 使用浏览器原生实现，跨引擎一致且性能更优。

6. 深度用法详解（Detailed Usage）
• 多种典型场景：
• 路径匹配与参数提取：示例 /products/:category/:id 展示 .test() 与 .exec() 双用法。
• 匹配子域名与版本号：支持在 hostname 层定义变量如 :subdomain.myapp.com，适用于多子域架构。
• 通配符与正则表达式结合：通过 * 和嵌入式正则增强匹配灵活度，如 /users/:userId(d+)/assets/*.(jpg|png|gif)。

7. 实战示例：Service Worker 路由
• 利用 URLPattern 拦截 fetch 事件，根据路径实行不同缓存策略。
• 示例：
• /images/* 采用缓存优先；
• /api/* 使用网络优先。
• 显示该 API 在渐进式 Web 应用（PWA）中的现实意义。

8. 结语与扩展阅读
• URLPattern 提升代码可维护性，简化路由逻辑。
• 推荐进一步查阅 MDN Web Docs 了解完整参考。

author Jay Rungta

#碎碎念 #杂谈 #emo
写点流水账，破事水：最近经常被若有若无的“孤独感”侵袭（对的兄弟就算有对象也会经常有），想听人说话，想出去走走，听自己以前录的视频啊，回看 vlog 啊什么的，一晃然发现上次录的带声儿的视频都已经是 22 年的大作业了，听完就会有种：啊我那个时候那么稚嫩吗的感觉。

偶尔 B 站会开直播打游戏也是这个原因，直播跟另一个朋友语音着打游戏，但我这个人又不擅长开麦/露脸等行为，这方面非常之不自信。回忆起大学的时候，我一个 i 人身兼学生会部长/社团副部长/团委的时候，各种露脸，演讲和接触学弟学妹看起来都很 e，但实际上内心是非常没底气的一个人。

但这又跟我之前说的偶尔会觉得自己“我做什么都会成功的！”这个念头冲突，偶尔又会有“我好废物啊！”的感觉，人体，很神奇吧。

偶尔也会想，要不要做点视频唠嗑唠嗑说说话，别给孩子憋疯了，但是转念一想，又想不到做什么样的视频，没有必要硬做，很羡慕别人做 vLog 啊演讲啊之类的视频能够说很多话。

还有就是最近经常经常心情不好就去吃楼下的烧烤（都怪他太好吃了），然后就减肥无望，然后心情更不好了，更想去吃了，恶性循环，运动一点也补不回来，在想等回来之后要不要去看看减重科。

还有就是，我也太久没生过什么病了导致有点担忧，一直都是间断性头隐隐作痛，不会突然来个大的吧。

不想那么多了，先期待期待下周去九寨沟！