Menéame: comentarios [4095000]

#17 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

herlocksholmes — Tue, 09 Sep 2025 17:53:06 +0000

#16 Muchas gracias por tu tiempo y explicaciones

» autor: herlocksholmes

#16 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

PerritaPiloto — Tue, 09 Sep 2025 16:26:39 +0000

#5 En el desarrollo de software se usan repositorios de código que permiten su reutilización.

Mucha gente usa ese código para evitar tener que programar un montón de funciones comunes, bastante básicas y muy aburridas que no aportan nada y te distraen de tu aplicación.

Es habitual tener cadenas automatizadas de integración continua y entrega continua para automatizar las construcción de los programas a partir del código que entregan los desarrolladores. Así simplemente entregan código y esa cadena de suministro les entrega a la gente que la prueba una aplicación lista, construida y preparada para probar e incluso instalada. A su vez cuando la gente de pruebas termina y da el visto bueno, esa aplicación construida directamente pasa al entorno de producción automáticamente.

De esta manera se desarrolla más rápido.

¿Que pasa si uno de esos repositorios de librerías de terceros que utilizas se actualiza automáticamente y en una de esas actualizaciones alguien ha metido código malicioso?

Pues en el caso que nos ocupa eso es lo que ha pasado. En NPM, que es un repositorio de JavaScript, alguien ha logrado suplantar a un desarrollador, y actualizar algunos de sus paquetes, con software malicioso para robar criptomonedas.

El artículo de consejos como bloquear las librerías que usar por las versiones que has has probado y auditado. Eso hay hacerlo porque normalmente no hace falta actualizarlas, a menos que tengan una fallo de seguridad o una nueva funcionalidad *que se verdad necesites*.

Potencialmente esas funcionalidades hacen tareas muy básicas y las hacen bien, y cambiarlas puede suponer romper un proyecto.

En el caso del artículo, usaban versiones tan viejas, que la nueva versión actualizada trais una función nueva incompatible y fallo la build automática, lo que les obligó a tirar del hilo para ver dónde estaba el fallo y se dieron cuenta de esto.

En otros casos seguramente se haya logrado instalar en producción una aplicación web que a sus usuarios potencial ente les puede robar criptodividas cuando hagan una transacción.

» autor: PerritaPiloto

#15 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

armadilloamarillo — Tue, 09 Sep 2025 09:32:14 +0000

#2 Normalmente suelo quitarle el ^ a las versiones y dejarlas fijas. Eso ayuda a evitar actualizaciones "sorpresa" que a veces pueden romper las aplicaciones. Por alguna razón es algo impopular a veces entre algunos de mis compañeros que dicen que "así se arreglan bugs al actualizar", pero en mi experiencia, semver a la práctica no funciona y los problemas que produce no se contrarrestan con los supuestos beneficios.
Y en este caso, con más razón, ya que al mantener la versión se utiliza la que está en caché o una que sabes que no tiene problemas.

» autor: armadilloamarillo

#14 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

armadilloamarillo — Tue, 09 Sep 2025 09:22:42 +0000

#0 Esto lo has encontrado por tu cuenta auditando los paquetes de npm o hay una fuente de terceros con más datos disponibles?
Actualización:
Lo tengo, aquí, de Krebs on Security: krebsonsecurity.com/2025/09/18-popular-code-packages-hacked-rigged-to-

Si puedes, edita y añade fuentes extra, ya que ayudan a verificar la información.

» autor: armadilloamarillo

#13 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

ed25519 — Tue, 09 Sep 2025 07:58:34 +0000

#8 la mierdificacion en su maximo exponente

» autor: ed25519

#12 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

Toponotomalasuerte — Tue, 09 Sep 2025 04:50:12 +0000

#7 piensa en las veces que haces Comit a tu rama wip con testeo y build y ya te salen las cuentas, bribón!!!

» autor: Toponotomalasuerte

#11 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

Claudio_Nc — Mon, 08 Sep 2025 21:33:23 +0000

#9 la fuente original es el resumen que me han hecho mis compañeros de la herramienta de seguridad que tienen metida en github y lo que han podido rascar de diferentes fuentes.

Esto acaba de explotar. Las noticias aún que ahora hay más, están aún por escribirse y la historia completa por descubrir

» autor: Claudio_Nc

#10 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

tpm1 — Mon, 08 Sep 2025 21:10:40 +0000

#5 Emosido engañado

» autor: tpm1

#9 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

mecha — Mon, 08 Sep 2025 20:59:07 +0000

#3 se recomienda, por no decir que es una norma escrita, mandar la fuente original. Tú has mandado un enlace a tu propio LinkedIn.

» autor: mecha

#8 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

chavi — Mon, 08 Sep 2025 20:46:16 +0000

#7 Maravillas del npm....

Ahora inicias un proyecto, quieres eliminar las comas de un texto, y nmp install, quieres extraer un trozo de texto de un string y npm install, ... cualquier proyecto chorra tiene decenas de módulos npm, con su control de errores y su sistema de actualización....

Y un módulo interesante te puede instalar decenas de módulos chorras....

Modulos de nosequien sacados de nosesabedonde ....

» autor: chavi

#7 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

ayatolah — Mon, 08 Sep 2025 20:43:26 +0000

A mi lo que me asombra es lo de los 2.000.000.000 (lo pongo en número) de descargas a la semana. Es un número gigantesco.

» autor: ayatolah

#6 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

cosmonauta — Mon, 08 Sep 2025 20:42:13 +0000

Buah..se va a liar parda

www.cyberkendra.com/2025/09/npm-packages-supply-chain-attack.html?m=1

Esta noche se van a hacer muchas horas extras.

» autor: cosmonauta

#5 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

herlocksholmes — Mon, 08 Sep 2025 20:40:38 +0000

¿Alguien traduce esto al idioma de Cervantes? No he entendido una mierdaaaaaa.

» autor: herlocksholmes

#4 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

Claudio_Nc — Mon, 08 Sep 2025 20:39:13 +0000

#2 le va a arruinar la semana a más de uno y más de tres

» autor: Claudio_Nc

#3 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

Claudio_Nc — Mon, 08 Sep 2025 20:37:12 +0000

#1 no tengo un blog personal. Lo siento. Debería, pero no me da la vida

» autor: Claudio_Nc

#2 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

chavi — Mon, 08 Sep 2025 20:26:47 +0000

El usar módulos npm para cualquier chorrada y sobre todo tener aplicaciones web con parcheo automático en repositorios de este tipo con poca o nula seguridad es una auténtica locura.

Poco nos pasa

» autor: chavi

#1 Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

janatxan — Mon, 08 Sep 2025 20:26:08 +0000

Anda que usar la basura de linkedin para anunciar algo tan gordo...

» autor: janatxan