14 maggio 2026
Una singola PR può compromettere la tua supply chain: anatomia di un attacco al registry npm (e come ridurre i rischi)
Un recente attacco alla supply chain JavaScript ha mostrato quanto sia sottile il confine tra automazione sicura e compromissione su larga scala. In poche ore, un meccanismo pensato per rafforzare la pubblicazione dei pacchetti è stato aggirato sfruttando trigger di GitHub Actions, cache condivise e propagazione “worm-like” via token npm. Vediamo cosa è successo a livello tecnico e quali contromisure concrete possono adottare maintainer e team frontend.