Muchos programadores se encontraron mirando la pantalla ante compilaciones e instalaciones fallidas el martes, cuando alguien derrumbó la torre Jenga que es JavaScript. Un par de horas antes Azer Koçulu desplublicó más de 250 de sus módulos de popular administrador de paquetes NPM, usado por proyectos JavaScript para gestionar dependencias. Uno de los módulos de Koçulu se llama Kik, igual que una aplicación de mensajería. Los abogados de Kik exigieron la retirada del módulo, a lo que Koçulu se negó. Los abogados exigieron...[sigue en #1]

El gestor de paquetes de Node.js (npm) permite al autor de un paquete malicioso infectar otros paquetes y propagar scripts a lo largo del ecosistema npm y penetrar proyectos legítimos. npm es a Node.js lo que apt-get es a linux o gem a Ruby. Es un sistema rápido para descargar paquetes y usarlos en proyectos de programación. Es rápido, cómodo, bien diseñado y por eso la mayoría de programadores JavaScript lo adoran. Pero según un ingeniero de Google tiene algunos fallos que permitirían a un atacante experto causar el caos en el ecosistema JS.

Desarrolladores, es hora de tener una conversación seria. Como probablemente ya sabes, esta semana React, Babel, y un montón de otros paquetes de alto perfil en NPM se rompieron. La razón fue bastante asombrosa. Un simple paquete de NPM llamado left-pad de once líneas fue despublicado del repositorio. [...] Lo que me interesa aquí es que tantos paquetes adquirieran una dependencia de una simple función de relleno cadena izquierda, en lugar de tomar 2 minutos para escribir una función tan básica por sí mismos.

La semana pasada Facebook presentó Yarn, un nuevo gestor de paquetes Open Source para JavaScript, llamado a sustituir a NPM. Por lo visto el conocido Node Package Manager que utilizan millones de desarrolladores en todo el mundo no servía a la escala de Facebook, provocando problemas de rendimiento, seguridad e inconsistencia de código. Así que, en un momento dado, decidieron rescribir NPM desde cero para solucionar los problemas. El resultado es Yarn.

Un hacker obtuvo acceso a la cuenta npm de un desarrollador a principios de esta semana e inyectó código malicioso en una popular biblioteca JavaScript, código que fue diseñado para robar las credenciales npm de los usuarios que utilizan el paquete envenenado dentro de sus proyectos. El paquete JavaScript (npm) que se ha visto comprometido se llama eslint-scope, un submódulo del más famoso ESLint, un conjunto de herramientas de análisis de código JavaScript. El hackeo tuvo lugar en la noche del 11 al 12 de julio.

El paquete JS commons está en manos de una entidad con fines de lucro. Confiamos en npm con nuestro código compartido, pero no tenemos forma de responsabilizar a npm por su comportamiento. Un sistema basado en la confianza no puede funcionar sin responsabilidad, pero alguien tiene que pagar por los servidores. ¿Cómo llegamos aquí, y qué debe hacer JavaScript ahora?

El ecosistema de npm de las bibliotecas JavaScript está más entretejido de lo que la mayoría de los desarrolladores piensan, y todo el asunto es un gigantesco castillo de naipes - un hack podría comprometer cientos de miles de proyectos, según un estudio. "391 mantenedores altamente influyentes afectan a más de 10.000 paquetes, lo que los convierte en objetivos principales de los ataques", dijo el equipo de investigación. "Si un atacante logra comprometer la cuenta de cualquiera de ellos, tendremos un grave problema de seguridad."

GitHub anuncia acuerdo para adquirir NPM, el gestor de paquetes del ecosistema Javascript. Comunicado de GitHub en inglés.

Un misterioso paquete npm de una sola letra llamado "-" que está en el registro desde 2020 ha recibido más de 700.000 descargas. El paquete no contiene ningún código funcional. El inútil paquete es una dependencia de más de 50 paquetes npm, sin una explicación clara. ¿Qué está pasando? Es plausible que el paquete se añade cuando alguien está ejecutando comandos npm desde la terminal, y comete errores tipográficos, por ejemplo un espacio entre "-" y un flag.

La autenticación de dos factores (2FA) se aplica ahora a los mantenedores de los 500 paquetes más importantes, por sus dependencias, en el registro de npm. (fuente en inglés)