NPM-repot har drabbats av allvarligt intrång (2025-09-17)

Det verkar pågå något ytterst allvarligt i javascriptsfären för tillfället, då i skrivandes stund fler n 400 paket blivit komprometterade.

Enligt https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages verkar det vara en pågående och dessutom spridande attack som pågår.

Så, alla som håller på med utveckling och använder NPM-paket, se upp så ni själva inte drabbas och installera framförallt inte några nya paket för tillfället då det i det närmaste verkar som om hela repot är att betrakta som komprometterat.

Min chef vidarebefordrade faktiskt ett mail angående detta alldeles nyss. Inte för att vi någonsin använt NPM eller kommer använda NPM då vi inte sysslar med webbutveckling men det är läskigt med hackare, I guess
Det har även innan detta varit två ganska stora supply chain-attacker i NPM-ekosystemet på ungefär en vecka.

https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
https://nx.dev/blog/s1ngularity-postmortem

Modern webbutveckling är bajs och varenda jävel som ska göra ett "hello world"-projekt installerar 234589 olika paket för att göra simpla saker som man hade kunnat koda själv på en kvart. Resultatet är att alla webbsidor har blivit korthus som beror på massa onödiga paket, som i sin tur beror på massa onödiga paket som i sin tur beror på massa onödiga paket, osv... Sedan faller någon för en phishingattack eller så tar någon bort sitt paket av någon anledning, och då faller korthuset.

Det hade varit underbart om dessa attacker ledde till att folk såg över sina dependencies och att webbsidor i längden blev mindre bloatade, men jag tror helt ärligt att ingen kommer göra ett skit.