https://news.ycombinator.com/item?id=14901566
npm пакеты с именами, похожимим на популярные пакеты, собирали данные из переменных окружения (что плохо). Злоумышленники назвали свой пакет crossenv
, очень похоже на популярный пакет с названием cross-env
.
Год назад парень, разрабатывающий пакет left-pad
, убрал его из npm регистра. Это привело к поломке кучи проектов, ибо оказалось что множество популярных пакетов зависят от left-pad
.
Оба события подталкивают внимательнее относиться к зависимостям в проекте. Добавляя множество непроверенных зависимостей ты делаешь проект хрупким, уязвимым к вышеописанным событиям.