Nessuna possibilità di prevenire questo, dice il solo gestore di pacchetti dove questo accade regolarmente

SAN FRANCISCO, CA - Nel seguito di un devastante attacco alla catena di approvvigionamento nel registro npm che ha lasciato milioni di applicazioni aziendali compromesse e miliardi di registri utente esposti, gli sviluppatori all'interno dell'ecosistema JavaScript hanno espresso profonda tristezza oggi, lamentando che tale crisi fosse completamente inevitabile.

"È una vergogna, ma cosa si può fare? Questo è solo il prezzo di costruire applicazioni web moderne", ha detto l'ingegnere frontend Mark Vance, ripetendo i sentimenti di una comunità che si basa completamente su una foresta a 40 livelli di profondità di pacchetti non verificati mantenuti da sconosciuti pseudonimi per capitalizzare una singola stringa. "Non c'è assolutamente modo di prevedere o prevenire qualcuno che prende il controllo di un pacchetto di utilità abbandonato da tempo e inserisce un miner criptografico in ogni build di produzione nel mondo. È solo un atto di natura."