JFrogは11月29日(米国時間)、npm Command Line Interface（CLI）ツールのセキュリティチェック機能が回避される可能性があることを伝えた。JFrogの調査報告 ...

ソースコード中でモジュールを指定するには「npm:」という指定子に続けてモジュールを指定すれば良い。 Deno DeployはNode.js APIをそのまま理解するため、アプリケーションのビルドやパッケージ化、トランスパイルなどの作業は必要ない。

The node-ipc developer attempt to protest Russia's attack on Ukraine has the unintended consequence of casting more doubt in software supply chain integrity.

An NPM supply-chain attack dating back to December 2021 used dozens of malicious NPM modules containing obfuscated Javascript code to compromise hundreds of downstream desktop apps and websites.

Russia's invasion of Ukraine has spilt over into developer-space, with a well-known npm maintainer adding "protestware" as a dependency to a very popular package.

In the latest software supply-chain attack, the code maintainer added malicious code to the hugely popular node-ipc library to replace files with a heart emoji and a peacenotwar module.