Относительно недавно я проводил ревизию зависимостей в нашем бэкенде на ноде и внимание моё привлекла одна маленькая библиотечка — generate-sms-verification-code. Как понятно из названия, единственная её задача — генерировать цифровые смс коды для верификации. Сама по себе, библиотека очень простая, исходный код помещается в 20 строчек, и она использует Math.random. Все популярные библиотеки, которые я полистал на npm, были построены именно на старом добром методе получения псевдослучайного числа...

Бэкдор в собственном коде, который может незаметно взаимодействовать с операционной системой, это один из самых страшных кошмаров любого разработчика. В настоящий момент в npm имеется более 1.2 миллиона общедоступных пакетов. За последние три года зависимости проектов превратились в идеальную цель для киберпреступников. Экосистема npm может оказаться на удивление хрупкой в том случае, если сообщество разработчиков не обратит пристальное внимание на безопасность. В качестве доказательств этой мысли достаточно вспомнить о тайпсквоттинге и об инциденте с npm-пакетом event-stream...