El ataque a npm de 2025: la fragilidad de la cadena de suministro de software
El 8 de septiembre de 2025, el ecosistema de JavaScript vivió uno de los mayores sustos de los últimos años. Un atacante comprometió 18 paquetes populares de npm , entre ellos debug , chalk y ansi-styles . Estos paquetes juntos suman más de 2 mil millones de descargas semanales , lo que significa que la superficie de ataque era gigantesca. El episodio duró poco: apenas unas horas. Pero bastó para recordarnos lo frágil que es la cadena de suministro de software en la que descansa buena parte de la infraestructura digital. ¿Cómo ocurrió el ataque? El vector fue sorprendentemente humano. El mantenedor de varios de estos paquetes, conocido como Josh Junon (“qix”) , recibió un correo que parecía legítimo, supuestamente de npm, pidiéndole reconfigurar la autenticación de dos factores ( 2FA ) . La trampa funcionó: al introducir sus credenciales, el atacante tomó control de su cuenta. Con acceso a la cuenta, el atacante publicó versiones nuevas de los paquetes con código malicioso...