Al menos dos desarrolladores de diferentes paquetes de npm han sufrido ataques de phishing. Esto ha desembocado en codigo malicioso que intercepta la dirección de destino de una wallet y robar fondos.
|
etiquetas: node , npm , cadena de suministro , hacking , crypto 
Poco nos pasa
Y en este caso, con más razón, ya que al mantener la versión se utiliza la que está en caché o una que sabes que no tiene problemas.
Esto acaba de explotar. Las noticias aún que ahora hay más, están aún por escribirse y la historia completa por descubrir
www.cyberkendra.com/2025/09/npm-packages-supply-chain-attack.html?m=1
Esta noche se van a hacer muchas horas extras.
Actualización:
Lo tengo, aquí, de Krebs on Security: krebsonsecurity.com/2025/09/18-popular-code-packages-hacked-rigged-to-
Si puedes, edita y añade fuentes extra, ya que ayudan a verificar la información.
Ahora inicias un proyecto, quieres eliminar las comas de un texto, y nmp install, quieres extraer un trozo de texto de un string y npm install, ... cualquier proyecto chorra tiene decenas de módulos npm, con su control de errores y su sistema de actualización....
Y un módulo interesante te puede instalar decenas de módulos chorras....
Modulos de nosequien sacados de nosesabedonde ....
Mucha gente usa ese código para evitar tener que programar un montón de funciones comunes, bastante básicas y muy aburridas que no aportan nada y te distraen de tu aplicación.
Es habitual tener cadenas automatizadas de integración continua y entrega continua para automatizar las construcción de los programas a partir del código que entregan los desarrolladores. Así simplemente entregan código y esa… » ver todo el comentario