Tecnología, Internet y juegos
20 meneos
180 clics
Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales

Al menos 18 paquetes muy populares de NPM han sido comprometidos. En conjunto, estos paquetes superan las 2.000 millones de descargas semanales  

Al menos dos desarrolladores de diferentes paquetes de npm han sufrido ataques de phishing. Esto ha desembocado en codigo malicioso que intercepta la dirección de destino de una wallet y robar fondos.

| etiquetas: node , npm , cadena de suministro , hacking , crypto
17 3 0 K 226
15 comentarios
17 3 0 K 226
Comentarios destacados:    
#2 chavi *
El usar módulos npm para cualquier chorrada y sobre todo tener aplicaciones web con parcheo automático en repositorios de este tipo con poca o nula seguridad es una auténtica locura.



Poco nos pasa
4 K 52
Claudio_Nc #4 Claudio_Nc
#2 le va a arruinar la semana a más de uno y más de tres
1 K 18
armadilloamarillo #15 armadilloamarillo *
#2 Normalmente suelo quitarle el ^ a las versiones y dejarlas fijas. Eso ayuda a evitar actualizaciones "sorpresa" que a veces pueden romper las aplicaciones. Por alguna razón es algo impopular a veces entre algunos de mis compañeros que dicen que "así se arreglan bugs al actualizar", pero en mi experiencia, semver a la práctica no funciona y los problemas que produce no se contrarrestan con los supuestos beneficios.
Y en este caso, con más razón, ya que al mantener la versión se utiliza la que está en caché o una que sabes que no tiene problemas.
0 K 10
janatxan #1 janatxan
Anda que usar la basura de linkedin para anunciar algo tan gordo...
1 K 19
Claudio_Nc #3 Claudio_Nc
#1 no tengo un blog personal. Lo siento. Debería, pero no me da la vida
1 K 18
mecha #9 mecha
#3 se recomienda, por no decir que es una norma escrita, mandar la fuente original. Tú has mandado un enlace a tu propio LinkedIn.
1 K 17
Claudio_Nc #11 Claudio_Nc
#9 la fuente original es el resumen que me han hecho mis compañeros de la herramienta de seguridad que tienen metida en github y lo que han podido rascar de diferentes fuentes.

Esto acaba de explotar. Las noticias aún que ahora hay más, están aún por escribirse y la historia completa por descubrir
0 K 6
cosmonauta #6 cosmonauta
Buah..se va a liar parda

www.cyberkendra.com/2025/09/npm-packages-supply-chain-attack.html?m=1

Esta noche se van a hacer muchas horas extras.
0 K 12
armadilloamarillo #14 armadilloamarillo *
#0 Esto lo has encontrado por tu cuenta auditando los paquetes de npm o hay una fuente de terceros con más datos disponibles?
Actualización:
Lo tengo, aquí, de Krebs on Security: krebsonsecurity.com/2025/09/18-popular-code-packages-hacked-rigged-to-

Si puedes, edita y añade fuentes extra, ya que ayudan a verificar la información.
0 K 10
ayatolah #7 ayatolah
A mi lo que me asombra es lo de los 2.000.000.000 (lo pongo en número) de descargas a la semana. Es un número gigantesco.
0 K 10
#8 chavi *
#7 Maravillas del npm....

Ahora inicias un proyecto, quieres eliminar las comas de un texto, y nmp install, quieres extraer un trozo de texto de un string y npm install, ... cualquier proyecto chorra tiene decenas de módulos npm, con su control de errores y su sistema de actualización....

Y un módulo interesante te puede instalar decenas de módulos chorras....

Modulos de nosequien sacados de nosesabedonde ....
3 K 41
ed25519 #13 ed25519
#8 la mierdificacion en su maximo exponente :-)
0 K 9
#12 Toponotomalasuerte
#7 piensa en las veces que haces Comit a tu rama wip con testeo y build y ya te salen las cuentas, bribón!!!
0 K 10
herlocksholmes #5 herlocksholmes
¿Alguien traduce esto al idioma de Cervantes? No he entendido una mierdaaaaaa.
0 K 10
#10 tpm1
#5 Emosido engañado
0 K 9

menéame