Un ataque de seis minutos comprometió el modelo de confianza del desarrollo moderno de JavaScript, distribuyendo 84 versiones maliciosas en 42 paquetes del espacio de nombres @tanstack a través de un pipeline de lanzamiento legítimo. El "gusano" se extendió a más de 170 paquetes en npm y PyPI, afectando más de 518 millones de descargas acumuladas y apuntando al robo de credenciales.
Em 31 de março de 2026, a Anthropic publicou acidentalmente 513 mil linhas do código-fonte do seu agente Claude Code no npm devido a um erro de empacotamento. Este vazamento expôs a arquitetura interna, resultando em duas CVEs críticas que permitem execução remota de código e exfiltração de chaves API.
Se descubrieron versiones maliciosas del paquete npm node-ipc con cargas útiles de robo/backdoor. El malware recolecta credenciales para herramientas de IA y servicios en la nube como AWS, Azure y GCP, exfiltrando datos a través de HTTPS y DNS.
npm ha liberado los paquetes privados, siguiendo una tendencia de plataformas que eliminan los costos de los contenedores para mantener el bloqueo. Esto permite la monetización en la capa de inteligencia (como las funciones de IA), un patrón inverso al de las API de IA como ChatGPT, que ahora añaden funciones relacionadas con los datos del usuario y la personalización.
Un ataque a la cadena de suministro de NPM eludió la autenticación de dos factores de GitHub, comprometiendo la cuenta de un desarrollador y publicando paquetes maliciosos. Esto pone en riesgo el ecosistema de JavaScript, con posibles impactos en miles de proyectos dependientes, destacando vulnerabilidades en la seguridad del software.
Un sofisticado ataque a la cadena de suministro de npm afectó a 42 paquetes de TanStack, publicando 84 versiones maliciosas en 6 minutos. Los atacantes explotaron un peligroso disparador de GitHub Actions, sin necesidad de contraseñas robadas.
Este contenido ofrece una guía rápida sobre defensa de npm en 30 segundos, dirigida a desarrolladores. Proporciona consejos esenciales de seguridad para proyectos de codificación.