The Worm in the Registry

Un ataque de seis minutos comprometió el modelo de confianza del desarrollo moderno de JavaScript, distribuyendo 84 versiones maliciosas en 42 paquetes del espacio de nombres @tanstack a través de un pipeline de lanzamiento legítimo. El "gusano" se extendió a más de 170 paquetes en npm y PyPI, afectando más de 518 millones de descargas acumuladas y apuntando al robo de credenciales.