- La seguridad de npm ahora gira en torno a la gestión del riesgo de la cadena de suministro a lo largo de amplios árboles de dependencia, no solo a la reparación de CVE individuales.
- Herramientas como npm audit, archivos de bloqueo, Dependabot y verificaciones CI/CD trabajan juntas para detectar y remediar paquetes vulnerables u obsoletos.
- Los ataques del mundo real, como el malware interceptor de navegador y el gusano Shai-Hulud, muestran cómo los paquetes npm comprometidos pueden robar credenciales o sabotear canalizaciones.
- La combinación de escaneo automatizado, administración sólida de cuentas y secretos y una selección cautelosa de paquetes reduce en gran medida las posibilidades de éxito de ataques basados en npm.
Si hoy construyes algo con Node.js o TypeScript, estás parado encima de una gigantesca pila de dependencias npm que no escribiste y que probablemente nunca leerás por completo. Esto es increíblemente conveniente para enviar funciones rápidamente, pero también abre una enorme superficie de ataque para amenazas a la cadena de suministro, robo de credenciales y puertas traseras sutiles que se cuelan en sus aplicaciones o canales de CI/CD.
La seguridad moderna de npm ya no se trata solo de "¿hay CVE conocidos en mis paquetes?", se trata de defensa contra campañas de phishing que secuestran cuentas de mantenimiento, gusanos que publican automáticamente versiones infectadas y bibliotecas maliciosas que intentan borrar el historial de un desarrollador. home directorio o robar credenciales de la nube. En esta guía, explicaremos cómo auditoría de seguridad de npm obras, cómo fortalecer tus flujos de trabajo con herramientas como npm audit, Dependabot, escáneres SAST/SCA y verificaciones CI/CD, y lo que usted puede hacer de manera realista como desarrollador cuando le preocupa que "esta pequeña y genial biblioteca pueda ser malware".
Por qué la seguridad de las dependencias de npm es tan importante
Cada vez que corres npm install, estás importando código de terceros a tu proyecto y efectivamente confiando en sus autores Con parte de tu superficie de ataque. En Node.js, esta cadena de confianza puede ser sorprendentemente profunda: una sola dependencia de nivel superior puede atraer cientos de paquetes transitivos que nunca seleccionó directamente.
Las dependencias vulnerables o abandonadas pueden provocar problemas de seguridad clásicos como: ataques de inyección, denegación de servicio (DoS), escalada de privilegios o exfiltración de datos. Incluso un pequeño error en una utilidad de bajo nivel (un cliente HTTP, un analizador de color, un cargador YAML) puede tener un gran impacto cuando se encuentra bajo marcos y herramientas populares.
Más allá de las vulnerabilidades tradicionales, el ecosistema ahora tiene que lidiar con comportamientos abiertamente maliciosos: Paquetes creados intencionalmente para robar secretosInyectar código de criptominería o comprometer pipelines de CI/CD. Estos no son riesgos teóricos; múltiples incidentes reales han demostrado que los atacantes atacan las cuentas de los mantenedores y luego utilizan paquetes confiables como arma.
Mantener las dependencias auditadas y actualizadas Por lo tanto, no es una tarea rutinaria, sino una parte fundamental del mantenimiento de cualquier proyecto serio de Node.js o TypeScript. Las auditorías de seguridad periódicas, tanto automatizadas como manuales, son la única manera de mantener el riesgo del código de terceros a un nivel aceptable.
Entendiendo la auditoría de npm y lo que realmente verifica
npm audit es el comando integrado que escanea el árbol de dependencias de su proyecto comparándolo con una base de datos de vulnerabilidades conocidas y genera un informe de seguridad. Al ejecutarlo en la raíz de su proyecto, npm examina su package.json y el archivo de bloqueo, construye el gráfico de dependencia completo y compara cada versión con los avisos.
El informe de auditoría cubre ambos dependencias directas e indirectas (los paquetes que usted mismo enumera y sus dependencias). Para cada problema, se indica el paquete afectado, un resumen de la vulnerabilidad, su gravedad (baja, moderada, alta, crítica) y el rango de versiones que contiene la solución.
Desde el punto de vista del flujo de trabajo, npm audit se puede utilizar de forma interactiva Por desarrolladores y de forma no interactiva en pipelines de CI/CD. En los pipelines, incluso se puede hacer que la compilación falle solo si las vulnerabilidades superan un cierto umbral de gravedad mediante indicadores como --audit-level.
La herramienta pertenece a la familia más amplia de Análisis de composición de software (SCA)Se centra en problemas conocidos en componentes de código abierto, en lugar de errores en el código propio. Esto significa que es muy eficaz para detectar bibliotecas obsoletas o vulnerables, pero no detecta por arte de magia malware nuevo distribuido ayer bajo un nombre de paquete inédito.
Cómo ejecutar la auditoría npm e interpretar los resultados
Para realizar una auditoría de seguridad básica, abra una terminal en la raíz de su proyecto (donde package.json vidas) y correr npm auditDespués de un breve análisis de dependencia, npm generará una tabla de problemas, agrupados por gravedad, junto con sugerencias para solucionarlos, como actualizar a una versión parcheada.
El resultado de la auditoría generalmente incluye el nombre del paquete, la versión instalada, la descripción de la vulnerabilidad y gravedad (baja, moderada, alta, crítica)Además, se incluyen rutas que indican dónde se usa el paquete en el árbol de dependencias y una versión o rango fijo recomendado. Considere esto como una lista de tareas priorizadas: comience con las más críticas y altas, y luego vaya descendiendo.
Si desea ingerir los resultados en otras herramientas o almacenarlos para más tarde, puede solicitar la salida JSON a través de npm audit --jsonEsto es especialmente útil cuando se integra con paneles personalizados, sistemas de tickets o plataformas de orquestación de seguridad.
En las canalizaciones de CI/CD, muchos equipos configuran la canalización para que se ejecute npm audit --json Inmediatamente después de instalar las dependencias, analiza el resultado y falla la compilación si existe alguna vulnerabilidad con una gravedad superior a la seleccionada. Ayudantes externos como audit-ci Puede encapsular esta lógica para usted y brindarle opciones convenientes para interrumpir las compilaciones cuando se exceden los umbrales.
Corrección de vulnerabilidades con npm audit fix
En el momento que todos los DARWINs coticen incluyendo los deslizamientos npm audit Si tiene problemas con las banderas, su primera línea de defensa es npm audit fix, que intenta actualizar automáticamente las dependencias vulnerables a las versiones seguras más cercanas. Internamente, reescribe package-lock.json (y package.json cuando corresponda) para incluir paquetes dentro de rangos de versiones compatibles.
Esta remediación automática funciona bien para muchos problemas leves y moderados, e incluso para algunos de mayor gravedad, cuya solución consiste en una versión menor o un parche. Es una solución rápida que suele solucionar gran parte del trabajo atrasado con mínima intervención humana.
No todas las vulnerabilidades se pueden solucionar de forma segura mediante una actualización automática; algunas requieren cambios importantes en la versión que pueden afectar el código u otras dependencias. Ahí es donde npm audit fix --force entra en juego: fuerza actualizaciones incluso a pesar de cambios importantes, pero debes usarlo con cuidado y siempre probarlo exhaustivamente después.
Antes de ejecutar la opción de forzar en proyectos importantes, conviene confirmar o hacer una copia de seguridad del archivo de bloqueo y asegurarse de tener una buena cobertura de pruebas. Una actualización forzada puede introducir cambios de comportamiento o regresiones que son más difíciles de detectar si no se cuenta con una línea base con la que comparar.
Archivos de bloqueo, npm ci e instalaciones deterministas
El elemento package-lock.json archivo (o yarn.lock/pnpm-lock.yaml para otros administradores) es fundamental para la seguridad porque fija las versiones exactas de cada dependencia utilizada por el proyecto. Sin ella, cada npm install puede extraer versiones compatibles ligeramente diferentes, lo que hace que las compilaciones no sean deterministas y más difíciles de auditar.
Debes evitar editar package-lock.json manualmente y, en su lugar, deja que npm lo gestione al agregar, eliminar o actualizar dependencias. Al confirmar código, siempre incluye ambos package.json y el archivo de bloqueo para que todos (y su CI/CD) instalen las mismas versiones.
En entornos automatizados, prefiera npm ci más del npm install because npm ci Utiliza el archivo de bloqueo como un contrato estricto y se niega a ejecutarse si no coincide con las dependencias declaradas. Esto produce instalaciones más rápidas y totalmente reproducibles, justo lo que se busca en CI.
Desde la perspectiva de la seguridad de la cadena de suministro, bloquear y reproducir instalaciones significa saber exactamente qué versiones se usaron para una compilación determinada, lo cual es crucial para investigar si alguna vez se incorporó una versión maliciosa a su flujo de trabajo. Si es necesario, puede reproducir compilaciones utilizando archivos de bloqueo históricos para comprobar si una versión vulnerable o con puerta trasera estaba en juego.
Automatización de actualizaciones con Dependabot, Renovate y herramientas npm
El seguimiento manual de paquetes obsoletos o vulnerables en muchos repositorios se vuelve rápidamente inmanejable, por lo que la automatización a través de herramientas como dependientebot Renovate es muy valioso. Estos servicios monitorean tus dependencias y abren solicitudes de incorporación de cambios cuando aparecen nuevas versiones o correcciones de seguridad.
El Dependabot de GitHub, por ejemplo, se configura a través de un .github/dependabot.yml Archivo que especifica qué ecosistemas supervisar, la frecuencia de actualización y las ramas objetivo. Cuando detecta un paquete npm vulnerable o desactualizado, crea una solicitud de actualización. package.json y package-lock.json, a menudo con enlaces a avisos.
Emparejado con npm auditObtienes un buen ciclo de retroalimentación: la auditoría identifica los problemas y Dependabot (o Renovate) propone continuamente actualizaciones para solucionarlos. Tu trabajo se convierte en revisar y probar estas solicitudes de extracción en lugar de buscar manualmente cada actualización de versión.
Más allá de la automatización, npm proporciona comandos auxiliares como npm outdated para listar paquetes con versiones más nuevas y npm update Para actualizar dentro de los rangos de versiones permitidos. Su uso regular reduce la posibilidad de quedarse atrás y tener que actualizar varias versiones principales a la vez.
Ejecución de comprobaciones de seguridad en pipelines de CI/CD
Una configuración segura de npm no se limita a tu portátil; tus pipelines de CI/CD también deben implementar controles de seguridad para evitar que código vulnerable o malicioso llegue a producción. Cada etapa (fuente, compilación, prueba e implementación) debe contar con los controles pertinentes.
Es común correr npm audit automáticamente durante la etapa de compilación o preimplementación, a menudo con la --json Marca para facilitar la integración con las herramientas de monitorización. Si el análisis detecta vulnerabilidades que superan el umbral de riesgo, el pipeline puede fallar y bloquear la versión.
Herramientas avanzadas como snyk Pueden actuar como guardianes de la seguridad en CI/CD, analizando las dependencias y bloqueando compilaciones cuando se detectan problemas graves o críticos. Al combinarlos con analizadores de calidad como SonarQube o SonarCloud, se obtiene una visión más amplia de la calidad del código, los riesgos de seguridad y la deuda técnica.
Durante el desarrollo, se utilizan herramientas de análisis estático como ESLint con complementos como eslint-plugin-security y eslint-plugin-node Le ayuda a detectar patrones inseguros en las primeras etapas de su código. Esto complementa el análisis de dependencias, que se centra en componentes de terceros en lugar de en su lógica de negocio.
Fortalecimiento de los pipelines de CI/CD más allá de la auditoría de npm
Los análisis automatizados son potentes, pero una canalización segura también requiere una gestión sólida de secretos, un control de acceso robusto y una buena higiene del repositorio. Los secretos mal configurados o los roles demasiado permisivos pueden convertir una pequeña brecha en un incidente grave.
Utilice administradores de secretos dedicados como Bóveda de HashiCorp o AWS Secrets Manager, en lugar de incrustar tokens o claves en archivos de configuración o variables de entorno registradas en el control de código fuente. Esto reduce la posibilidad de que un atacante, o incluso un colaborador curioso, encuentre información confidencial en su repositorio.
El control de acceso basado en roles (RBAC) con el principio de mínimos privilegios es crucial para GitHub, npm y cualquier plataforma de CI/CD que utilice. Los desarrolladores y las cuentas de servicio deben tener solo los permisos estrictamente necesarios, nada más.
Los ganchos de pre-commit y las herramientas de escaneo de secretos pueden impedir que las claves API, los tokens o las contraseñas accedan a tus repositorios. Combinados con flujos de trabajo estructurados de GitOps y ramas protegidas, proporcionan un registro de auditoría claro y reducen el riesgo de que se fusionen cambios no revisados.
Las notificaciones de sus herramientas de seguridad deben integrarse en canales en tiempo real como Slack, Microsoft Teams o correo electrónico, pero ajustarse cuidadosamente para que su equipo no se vea abrumado por alertas de bajo valor. Priorizar por gravedad y contexto Mantiene la atención en lo que realmente importa.
Ataques a la cadena de suministro de NPM en el mundo real y lo que nos enseñan
En los últimos años, npm ha sido testigo de varios incidentes de alto perfil en la cadena de suministro, donde los atacantes atacaron a mantenedores o paquetes en lugar de aplicaciones individuales. Estos ataques demuestran cómo una sola cuenta comprometida puede propagarse a millones de instalaciones posteriores.
En una campaña, un conocido mantenedor de npm recibió un correo electrónico de phishing cuidadosamente diseñado, proveniente de un dominio que parecía prácticamente indistinguible del sitio web oficial de npm. El mensaje amenazaba con bloquear la cuenta a menos que se actualizara la autenticación de dos factores, lo que atraía a la víctima a una página de inicio de sesión falsa que obtenía las credenciales.
Una vez que el atacante controló la cuenta npm del mantenedor, distribuyó versiones maliciosas de 18 paquetes extremadamente populares con miles de millones de descargas semanales. Dado que estos paquetes estaban profundamente arraigados en el gráfico de dependencias del ecosistema JavaScript, el radio de acción potencial era enorme.
El código inyectado se comportó como un interceptor del lado del navegador dirigido a las criptomonedas y la actividad Web3: enganchó las API del navegador como fetch, XMLHttpRequest y las interfaces de billetera como window.ethereum o las API de la billetera Solana. Escaneó las respuestas de la red y las cargas de las transacciones en busca de cualquier elemento que pareciera una dirección o transferencia de criptomonedas.
Al detectar una transacción, el malware sustituía la dirección legítima del destinatario por una controlada por el atacante, a menudo eligiendo cadenas de aspecto similar para evitar sospechas. En muchos casos, la interfaz de usuario parecía seguir mostrando la dirección "correcta", aunque los datos firmados subyacentes ya se habían modificado para enviar los fondos al atacante.
El código malicioso estaba muy ofuscado, con variables como _0x... y grandes matrices de cadenas codificadas decodificadas en tiempo de ejecución, y en ocasiones devolvía respuestas de éxito falsas para evitar que la aplicación detectara algún error. Solo ciertas aplicaciones eran realmente explotables, especialmente aquellas que interactuaban con monederos o servicios de criptomonedas e instalaban las versiones afectadas dentro del estrecho margen de vulnerabilidad.
Orientación a partir de ese incidente del interceptor del navegador
Una lección clara es que los desarrolladores deben estar preparados para revertir rápidamente a versiones correctas cuando se anuncie un paquete comprometido. Incluso si el registro elimina las versiones maliciosas, sus archivos de bloqueo y cachés podrían seguir haciendo referencia a ellas hasta que las reduzca o actualice explícitamente.
Una inspección minuciosa de package.json y package-lock.json (o yarn.lock) es esencial para verificar si su proyecto incorporó las versiones maliciosas. Aquí es donde las instalaciones deterministas y los archivos de bloqueo con versiones fijas facilitan enormemente el trabajo forense.
Si su aplicación interactúa con billeteras de criptomonedas o API Web3, debe monitorear de cerca los registros de transacciones para detectar destinos anómalos o aprobaciones inesperadas en la ventana de tiempo en la que estuvieron presentes los paquetes comprometidos. La detección temprana puede limitar el daño financiero y ayudar a identificar a los usuarios afectados.
Reforzar la seguridad de las cuentas con autenticación de dos factores, idealmente mediante llaves físicas, es vital para las cuentas de npm y GitHub, especialmente para los encargados del mantenimiento de paquetes populares. Aun así, desconfíe siempre de los correos electrónicos que le instan a hacer clic en un enlace para "actualizar" las credenciales; en su lugar, acceda directamente al sitio web oficial y compruebe si hay alertas.
Las organizaciones que utilizan herramientas comerciales de SCA y SBOM a menudo pueden consultar sus inventarios por nombre y versión del paquete para localizar todos los sistemas y aplicaciones que dependen de una biblioteca comprometida. Esta visibilidad reduce drásticamente los tiempos de respuesta ante incidentes en la cadena de suministro.
El gusano Shai-Hulud: malware npm autorreplicante
Otra campaña notable, apodada la Campaña Shai-Hulud, llevó los ataques a la cadena de suministro de npm al siguiente nivel al comportarse como un gusano autorreplicante en paquetes y entornos de desarrollo. Utilizó scripts postinstalación de npm para ejecutar lógica maliciosa en cuanto se instalaba una versión comprometida.
El malware escaneó el entorno en busca de credenciales confidenciales, incluidas .npmrc archivos con tokens npm, tokens de acceso personal de GitHub, claves SSH y claves API de proveedores de nube para AWS, GCP y Azure. Todo lo que encontraron fue exfiltrado. a la infraestructura controlada por el atacante.
Usando tokens npm robados, el gusano se autenticó como mantenedores comprometidos, enumeró otros paquetes de su propiedad, inyectó su carga útil y luego publicó nuevas versiones maliciosas. Esta automatización le permitió expandirse rápidamente sin que el atacante tuviera que tocar manualmente cada paquete.
En muchos casos, los secretos robados se volcaron en repositorios públicos de GitHub recién creados bajo la cuenta de la víctima, con nombres o descripciones que hacían referencia a Shai-Hulud. Esto agravó el problema al exponer datos confidenciales a cualquiera que accediera a esos repositorios.
Los investigadores de seguridad detectaron indicios (incluidos comentarios extraños e incluso emojis) que sugerían que partes de los scripts de bash maliciosos se habían generado con la ayuda de grandes modelos de lenguaje. Es un claro ejemplo de cómo se puede abusar de la IA generativa para acelerar la creación de herramientas de ataque.
Shai‑Hulud 2.0: sabotaje de preinstalación y alternativas destructivas
Una ola posterior, denominada Shai-Hulud 2.0, modificó sus tácticas para ejecutarse durante la fase de preinstalación en lugar de la de postinstalación, ampliando enormemente su alcance en equipos de desarrolladores y servidores de CI/CD. Los scripts de preinstalación se ejecutan incluso antes en el ciclo de vida y pueden activarse en más sistemas.
Uno de los aspectos más alarmantes de esta variante era un mecanismo de respaldo: si el malware no lograba robar credenciales útiles o establecer un canal de comunicación, intentaba un comportamiento destructivo como Limpiando a la víctima home directorioLo hizo sobrescribiendo y eliminando de forma segura todos los archivos grabables propiedad del usuario actual bajo ese directorio.
La carga útil estaba camuflada como útiles scripts de instalación de Bun como setup_bun.js y un enorme y muy ofuscado bun_environment.js Archivo que supera los 9 MB. Para evitar llamar la atención, la lógica principal se bifurcó en un proceso en segundo plano para que la instalación original pareciera finalizar con normalidad.
Las credenciales y secretos recopilados por esta campaña fueron nuevamente exfiltrados a GitHub, esta vez a repositorios descritos como “Sha1-Hulud: The Second Coming”, y el malware intentó ganar persistencia creando flujos de trabajo de GitHub Actions como discussion.yamlEsos flujos de trabajo registraban las máquinas infectadas como ejecutores autoalojados, lo que permitía a los atacantes activar comandos arbitrarios simplemente abriendo discusiones.
El alcance general fue masivo y afectó a decenas de miles de repositorios y más de 25 000 repositorios maliciosos en cientos de cuentas de GitHub, incluidas bibliotecas populares como @ctrl/tinycolor Con millones de descargas semanales. Dado que el objetivo incluía el robo de credenciales para plataformas en la nube, el impacto posterior podría abarcar desde el robo de datos y el ransomware hasta la criptominería y la interrupción generalizada del servicio.
Acciones defensivas inmediatas contra los gusanos de la cadena de suministro de npm
Ante campañas como Shai-Hulud, quienes responden a incidentes recomiendan rotar inmediatamente todas las credenciales de nivel de desarrollador: tokens npm, PAT de GitHub, claves SSH y cualquier clave API en la nube utilizada en máquinas de desarrolladores o servidores de compilación. Supongamos que cualquier cosa presente en una estación de trabajo comprometida podría haberse filtrado..
Es esencial realizar una auditoría de dependencia completa en todos los proyectos, utilizando herramientas como npm auditInventarios de SBOM o plataformas SCA comerciales para localizar cualquier uso de los nombres y versiones de paquetes afectados. Archivos de bloqueo (package-lock.json, yarn.lock) proporcionan la verdad fundamental de lo que realmente se instaló.
Los desarrolladores deben inspeccionar sus cuentas de GitHub para detectar repositorios públicos extraños (especialmente los que llevan el nombre de Shai-Hulud), confirmaciones sospechosas o cambios inesperados en los flujos de trabajo de GitHub Actions que podrían haber registrado ejecutores no autorizados. Cualquier anomalía debe considerarse una señal de vulnerabilidad.
Implementar la autenticación multifactor en todas las cuentas de desarrollador, con métodos resistentes al phishing siempre que sea posible, es otro paso indispensable. No elimina el riesgo, pero aumenta la barrera para los atacantes que intentan abusar de las campañas de robo de credenciales.
Las organizaciones que utilizan plataformas avanzadas de búsqueda de amenazas también pueden aprovechar consultas personalizadas para buscar indicadores conocidos, como llamadas a webhook.site URL, presencia de archivos como shai-hulud-workflow.yml o sospechosamente grande bun_environment.js Archivos escritos en equipos de desarrollo. La detección temprana mediante telemetría puede reducir drásticamente el tiempo de espera.
Cómo están respondiendo los proveedores: capacidades de detección y prevención
Los proveedores de seguridad han actualizado sus productos para detectar y bloquear ataques a la cadena de suministro centrados en npm, tanto en el endpoint como en la red. Esto incluye firmas para cargas maliciosas conocidas y modelos de comportamiento para detectar actividad inusual en procesos o archivos durante las instalaciones.
Los servicios avanzados de sandboxing y análisis de malware pueden detectar cargas útiles de JavaScript ofuscadas, como las utilizadas en las campañas Shai-Hulud. Cuando estas herramientas detectan scripts sospechosos de preinstalación o postinstalación que intentan descubrir credenciales o destruir archivos, emiten alertas o bloquean su ejecución.
Los firewalls de última generación con prevención avanzada de amenazas y filtrado de URL pueden ayudar a bloquear el acceso a dominios maliciosos utilizados en phishing o exfiltración, por ejemplo, dominios de soporte npm falsos o específicos. webhook.site puntos finales codificados en el malware. Clasificar estas URL como maliciosas impide que la carga útil envíe con éxito datos robados.
Los agentes de detección y respuesta de puntos finales (EDR/XDR) contribuyen al monitoreo del comportamiento del proceso, la ejecución de scripts, las creaciones de archivos inusuales (como archivos gigantes) bun_environment.js archivos) y líneas de comando sospechosas. Pueden detener tanto hashes conocidos como variantes desconocidas previamente, basándose en reglas de comportamiento.
Las plataformas de seguridad de aplicaciones nativas de la nube agregan cada vez más funciones centradas en la cadena de suministro, como visibilidad de SBOM en tiempo real, puntuación de riesgo para componentes de código abierto y verificaciones de configuración incorrecta de CI/CD (archivos de bloqueo faltantes, archivos inseguros). npm install Uso, dependencias basadas en Git sin hashes de confirmación fijados, dependencias no utilizadas que amplían la superficie de ataque. Estos controles dificultan que versiones maliciosas o no verificadas de paquetes se cuelen en compilaciones de producción.
Hábitos prácticos para desarrolladores preocupados por paquetes npm maliciosos
Si eres nuevo en JS/TS y te sientes incómodo cada vez que instalas un paquete npm, no estás solo. Sin embargo, existen hábitos concretos que puedes adoptar para reducir el riesgo sin afectar tu productividad. Considéralos una lista de verificación de seguridad personal.
Primero, prefiero Paquetes bien establecidos con un historial de mantenimiento saludableRastreador de problemas activo y amplio uso, especialmente para infraestructuras centrales como clientes HTTP, registro o cifrado. Esto no garantiza la seguridad, pero suele implicar más supervisión del código y una detección más rápida si algo falla.
En el caso de paquetes pequeños o poco conocidos (especialmente aquellos con pocas descargas), examínelos con más atención: revise la página de npm, los enlaces al repositorio, la fecha de la última publicación y si el responsable es claramente identificable. Tenga cuidado si el paquete npm enlaza a un repositorio de GitHub que no contiene el código publicado o que aún apunta a un repositorio original no relacionado.
Siempre que sea posible, inspeccione el archivo tar del paquete publicado, no solo el repositorio de origen, ya que los atacantes pueden enviar a npm una compilación diferente a la que aparece en GitHub. Herramientas como npm pack Combinado con una revisión manual (aun cuando el código se transpila o minimiza) puede revelar señales de alerta obvias como scripts de instalación extraños, blobs ofuscados o llamadas de red inesperadas.
Para las bibliotecas de TypeScript que solo incluyen definiciones de tipos y JavaScript minimizado, es más difícil realizar una auditoría manual rápida, por lo que se puede optar por usarlas solo con un entorno de pruebas estricto o bifurcarlas y reconstruirlas desde el código fuente si se vuelven críticas para la pila. En algunos contextos de seguridad sensibles, los equipos optan por bifurcar las dependencias en registros privados tras una revisión exhaustiva.
Haga que la seguridad de npm sea una rutina en lugar de un simulacro de incendio: ejecute npm audit Limpie regularmente las dependencias no utilizadas, mantenga sus archivos de bloqueo comprometidos e integre las comprobaciones SCA/SAST en su CI/CD. Combinadas con una sólida higiene de cuentas y gestión de secretos, estas prácticas no lo hacen invulnerable, pero reducen drásticamente las probabilidades de que una instalación aleatoria de npm comprometa silenciosamente sus sistemas.
