Platicamos de varios hechos ocurridos en NPM con node-ipc y otros paquetes del mismo maintainer. ¿Tú qué dices? Es esto protestware, una nueva forma de expresión a través del software libre, ¿O esto se trata de malware? ¡Cuéntanos qué piensas de esto: @mytypeofradio en Twitter, Instagram y Facebook! Snyk Post: https://snyk.io/blog/peacenotwar-malicious-npm-node-ipc-package-vulnerability/ LunaSec Post: https://www.lunasec.io/docs/blog/node-ipc-protestware/ RIAEvangelist - Brandon Nozaki Miller en YouTube https://www.youtube.com/c/BrandonNozakiMiller/videos node-ipc: https://github.com/RIAEvangelist/node-ipc peacenotwar: https://www.npmjs.com/package/peacenotwar Buffer.from https://nodejs.org/api/buffer.html#static-method-bufferfromstring-encoding "Un dev en Nebraska" https://www.explainxkcd.com/wiki/index.php/2347:_Dependency DBAD license: https://dbad-license.org/ Thread en Twitter al respecto: https://twitter.com/mmartin_joo/status/1505101543225319425 Respuesta de @ipgeolocationio https://twitter.com/ejaxf/status/1505447352068452354?t=fu0zAVoftpNqmQfNNGR0Sg&s=09 Blog de IP Geolocation API https://ipgeolocation.io/blog.html La ONG afectada https://twitter.com/julian0liver/status/1504948168362012679 Lista de proyectos que dependen de node-ipc https://github.com/zlw9991/node-ipc-dependencies-list#aaron-dewes-node-ipc-fork OWASP: Seguridad en NPM https://cheatsheetseries.owasp.org/cheatsheets/NPM_Security_Cheat_Sheet.html La postura de Open Source Initiative: https://opensource.org/blog/open-source-protestware-harms-open-source Endo https://github.com/endojs/endo CVE-2022-23812 https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370 SNYK-JS-NODEIPC-2426370 https://security.snyk.io/vuln/SNYK-JS-PEACENOTWAR-2426724 Podcast en Inglés donde platican al respecto https://open.spotify.com/episode/0iDMnBAGDjuuC6t2ItOzVs Support the showRedes Sociales: Twitter: @mytypeofradio Facebook: My typeof Radio Instagram: @mytypeofradio Nuestra página web: https://mytypeof.dev Mándanos un correo: [email protected]