El año pasado se detectó un paquete de npm muy usado por muchos desarrolladores (event-stream) que estaba infectado con código malicioso. En resumen, un usuario malintencionado se ganó la confianza del mantenedor del repo del paquete para luego, ya siendo un contribuidor (de hecho, llegó a ser el dueño del repo), introcudir este código malicioso. La forma en que lo hizo vulneró incluso a los escaneos de código estático como el que vemos en este curso. Les dejo el resto: https://medium.com/intrinsic/compromised-npm-package-event-stream-d47d08605502
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?