npm, el gestor de paquetes más usado en el ecosistema JavaScript, ha implementado nuevas medidas de seguridad para frenar los ataques a la cadena de suministro. Ahora exige verificación en dos pasos para publicar paquetes y permite restringir instalaciones según su origen o reputación. La medida busca evitar que atacantes introduzcan código malicioso en componentes populares, un problema creciente en el desarrollo de software.
Cómo funcionan los nuevos filtros de seguridad en npm 🔒
La autenticación de dos factores (2FA) se vuelve obligatoria para quienes publican paquetes, reduciendo el riesgo de cuentas comprometidas. Además, npm introduce opciones para limitar instalaciones a paquetes verificados o con buena reputación, usando firmas y análisis de comportamiento. Esto permite a los desarrolladores bloquear dependencias sospechosas antes de que lleguen a producción. La actualización también incluye alertas tempranas sobre paquetes con actividad anómala o cambios recientes en sus mantenedores.
Adiós a instalar paquetes como si fueran caramelos 🍬
Por fin npm se pone serio, justo cuando muchos desarrolladores ya habían asumido que cualquier paquete de GitHub era digno de confianza. Ahora, instalar esa librería de 5 estrellas pero sin actualizar desde 2018 requerirá pensarlo dos veces. Eso sí, los atacantes ya están actualizando sus CV para incluir 2FA en sus cuentas falsas. Ironías del destino: ahora hasta los hackers tendrán mejor seguridad que tu cuenta de Netflix.