14 maggio 2026
NPM e l’illusione della fiducia: cosa ci insegna l’ultimo worm nella supply chain
Un recente worm ha colpito pacchetti molto usati nel mondo JavaScript e ha iniziato a propagarsi anche altrove. Il punto non è solo “npm è insicuro”: è l’intersezione tra script d’installazione eseguibili, pipeline CI/CD troppo permissive e un modello di fiducia che non regge agli attacchi moderni. Vediamo cosa è successo a livello concettuale e quali contromisure concrete adottare subito nei progetti frontend.