Um ataque de seis minutos comprometeu o modelo de confiança do desenvolvimento moderno de JavaScript, distribuindo 84 versões maliciosas em 42 pacotes do namespace @tanstack através de um pipeline de lançamento legítimo. O "worm" se espalhou para mais de 170 pacotes no npm e PyPI, afetando mais de 518 milhões de downloads cumulativos e visando o roubo de credenciais.
Em 31 de março de 2026, a Anthropic publicou acidentalmente 513 mil linhas do código-fonte do seu agente Claude Code no npm devido a um erro de empacotamento. Este vazamento expôs a arquitetura interna, resultando em duas CVEs críticas que permitem execução remota de código e exfiltração de chaves API.
Versões maliciosas do pacote npm node-ipc foram descobertas contendo payloads de roubo/backdoor. O malware coleta credenciais de ferramentas de IA e serviços de nuvem como AWS, Azure e GCP, exfiltrando dados via HTTPS e DNS.
A npm tornou pacotes privados gratuitos, seguindo uma tendência de plataformas que zeram custos de contêiner para manter o bloqueio. Isso permite a monetização na camada de inteligência (como recursos de IA), um padrão oposto ao das APIs de IA, como o ChatGPT, que agora adicionam recursos em torno de dados do usuário e personalização.
Um ataque de cadeia de suprimentos no NPM contornou a autenticação de dois fatores do GitHub, comprometendo a conta de um desenvolvedor e publicando pacotes maliciosos. Isso coloca em risco o ecossistema JavaScript, com possíveis impactos em milhares de projetos dependentes, destacando vulnerabilidades na segurança de software.
Um ataque sofisticado na cadeia de suprimentos npm atingiu 42 pacotes TanStack, publicando 84 versões maliciosas em 6 minutos. O ataque explorou um gatilho perigoso do GitHub Actions, sem necessidade de senhas roubadas.
Este conteúdo oferece um guia rápido sobre defesa npm em 30 segundos, direcionado a programadores. Ele visa aprimorar a segurança em projetos de código.