No hay forma de prevenir esto, dice el único administrador de paquetes donde esto sucede regularmente

SAN FRANCISCO, CA - En el seguimiento de un devastador ataque a la cadena de suministro en el registro npm que dejó millones de aplicaciones empresariales comprometidas y miles de millones de registros de usuarios expuestos, los desarrolladores en el ecosistema JavaScript expresaron profunda tristeza hoy, lamentando que tal crisis fuera completamente inevitable.

"Es una lástima, pero ¿qué se puede hacer? Esto es solo el precio de construir aplicaciones web modernas", dijo el ingeniero de frontend Mark Vance, repitiendo los sentimientos de una comunidad que se basa completamente en una arborescencia a 40 niveles de profundidad de paquetes no verificados mantenidos por desconocidos pseudónimos para capitalizar una sola cadena. "No hay forma de prever o prevenir que alguien tome el control de un paquete de utilidad abandonado desde hace tiempo y inserte un minero criptográfico en cada build de producción en el mundo. Es solo un acto de la naturaleza."