Il n'y a pas de moyen de prévenir cela, dit le seul gestionnaire de paquets où cela se produit régulièrement

SAN FRANCISCO, CA - Dans la suite d'une attaque catastrophique à la chaîne d'approvisionnement dans le registre npm qui a laissé des millions d'applications d'entreprise compromises et des milliards de registres d'utilisateurs exposés, les développeurs dans l'écosystème JavaScript ont exprimé une profonde tristesse aujourd'hui, lamentant que de tels événements fussent complètement inévitables.

"C'est une honte, mais qu'est-ce qu'on peut faire? C'est juste le prix de construire des applications web modernes", a déclaré Mark Vance, ingénieur frontend, répétant les sentiments d'une communauté qui se base complètement sur une forêt à 40 niveaux de profondeur de paquets non vérifiés maintenus par des inconnus pseudonymes pour capitaliser une seule chaîne. "Il n'y a pas de moyen de prévoir ou de prévenir que quelqu'un prenne le contrôle d'un programme d'utilité abandonné depuis longtemps et insère un mineur cryptographique dans chaque build de production dans le monde. C'est juste un événement naturel."