____      _            _   _
|  _ \ ___| |_ _ __ ___| \ | | _____      _____
| |_) / _ \ __| '__/ _ \  \| |/ _ \ \ /\ / / __|
|  _ <  __/ |_| | | (_) | |\  |  __/\ V  V /\__ \
|_| \_\___|\__|_|  \___/|_| \_|\___| \_/\_/ |___/
            

grep -r "npm" /noticias/

• Ataque à Cadeia de Suprimentos no Axios Puxa Dependência Maliciosa do npm
  Simon Willison 31/03/2026 23:28
  Esse ataque à cadeia de suprimentos do Axios é um lembrete de que mesmo os pacotes mais populares podem ter suas vulnerabilidades. Com 101 milhões de downloads semanais, versões como 1.14.1 trouxeram dependências maliciosas, como o tal 'plain-crypto-js'. O uso de tokens npm vazados é como dar a senha do Netflix pro seu amigo, que acaba deixando a conta cheia de filmes estranhos. É aquela velha história: sempre verifique se as dependências têm um release no GitHub antes de adicionar ao seu projeto.
  #desenvolvimento #seguranca #npm
  https://simonwillison.net/2026/Mar/31/supply-chain-attack...
• Gerenciadores de Pacotes Precisam Relaxar
  Simon Willison 24/03/2026 21:11
  É sempre importante lembrar que ao instalar pacotes, mais vale a precaução do que a velocidade do Flash. A ideia de "cooldowns de dependência" é como dar um tempo para o pacote pegar um ar e para a comunidade dar uma olhada: "uma chance de detectar se foram subvertidos de alguma forma". Com os gerenciadores de pacotes como Yarn e npm adotando essas práticas, parece que a galera está finalmente ouvindo o chamado da segurança do supply chain. No fim das contas, é melhor prevenir do que remediar, né?
  #seguranca #python #supply-chain #packaging #npm
  https://simonwillison.net/2026/Mar/24/package-managers-ne...