NPM sufre 1.3M ataques al año: 'no hay forma de evitarlo'

En 2023, el registro de NPM detectó 1.3 millones de ataques de typosquatting y dependency confusion. La reacción oficial: "no hay forma de evitarlo".

Por qué importa

NPM es el ecosistema de paquetes más grande del mundo, con más de 2 millones de paquetes y 10 millones de desarrolladores. Cada día se descargan miles de millones de paquetes. Un solo paquete malicioso puede comprometer toda una cadena de suministro.

La declaración de resignación no es un error técnico, sino cultural. La comunidad ha normalizado el riesgo como un costo inevitable del desarrollo rápido.

Qué dice el contexto

• 1.3 millones de ataques de typosquatting en 2023, según el informe de seguridad de NPM.
• Los ataques de dependency confusion aumentaron un 400% respecto a 2022.
• El 70% de los paquetes maliciosos se eliminan en menos de 24 horas, pero el daño ya está hecho.
• El 95% de los desarrolladores no revisa manualmente el código de las dependencias.
• Otros gestores de paquetes como PyPI o RubyGems no reportan cifras similares de ataques.

Lo que puedes hacer

1. Usa un lockfile y verifica hashes: npm shrinkwrap o yarn.lock garantizan que las dependencias no cambien sin tu consentimiento.
2. Implementa auditorías automáticas: npm audit y herramientas como Snyk o Dependabot detectan paquetes maliciosos conocidos.
3. Revisa dependencias nuevas manualmente: antes de instalar un paquete, mira su página de npm, autor, descargas y código fuente.

En una frase