El registro npm de JavaScript sufrió un devastador ataque a la cadena de suministro que comprometio millones de aplicaciones empresariales y expuso miles de millones de registros de usuarios. Desarrolladores del ecosistema JavaScript expresaron su pesar, señalando que este tipo de incidentes son inevitables en un entorno que depende de cientos de paquetes anidados de terceros no verificados. El ataque consistio en la toma de control de un paquete abandonado已久的 paquete que injecto un crypto-miner en builds de produccion a nivel mundial. Mientras tanto, ecosistemas como Go, Rust y APIs Web nativas reportaro cero incidentes, ya que cuentan con bibliotecas estandar mas robustas y verificacion criptografica integrada. Los equipos de DevOps actualmente rotan sus claves de AWS corporativas como medida preventiva. Los portavoces de npm señalaron que no existen politicas de registro o protecciones de sandbox que puedan detener estos ataques.
Ataque a paquetes npm abandonados inyecta crypto-miner y pone en riesgo millones de aplicaciones
