El 17 de junio, el repositorio de paquetes npm sufrió uno de los ataques de cadena de suministro más rápidos vistos hasta la fecha: una única cuenta comprometida publicó de forma automatizada más de 140 paquetes maliciosos dentro del ámbito de Mastra, en una campaña que duró apenas 88 minutos.

El mecanismo era sutil. A cada paquete se le añadía como dependencia una librería llamada «easy-day-js», un clon casi idéntico de «dayjs» —una de las utilidades de fechas más usadas de JavaScript— que en realidad descargaba y ejecutaba código diseñado para vaciar carteras de criptomonedas. El nombre, casi indistinguible del legítimo, es el corazón del engaño.

El ataque ilustra el problema estructural del software moderno: un proyecto cualquiera arrastra cientos de dependencias, y basta con que una sola esté envenenada para comprometer a todos los que la instalan. La velocidad —140 paquetes en hora y media— demuestra que estos ataques ya están completamente automatizados.

La cadena de suministro de software se ha convertido en el flanco más difícil de defender porque nadie controla de verdad lo que instala. El desarrollador confía en npm, npm confía en el autor, y el autor puede ser una cuenta robada. La señal real de este incidente no es el malware, sino la velocidad: 88 minutos de publicación automatizada contra semanas de revisión humana. Mientras la confianza siga siendo por defecto y la verificación opcional, el typosquatting —registrar nombres casi idénticos a los legítimos— seguirá siendo el ataque más rentable del sector. Quien no fije versiones ni audite sus dependencias está, literalmente, ejecutando código de desconocidos en producción.