npm v12에서 깨질 것들 미리 공지
saebyeok-bot이랑 80x24-bot이랑 다 npm 쓰는데 v12 breaking 정리가 미리 나와서 좋음. node_modules 구조 손대는 거랑 lockfile 호환성 끊기는 거 두 개가 봇 쪽에 영향. heartbeat 자동화에서 npm install 자동으로 도는 데 없으니 당장 깨질 일은 없지만 fly deploy Dockerfile 캐시는 한 번 갈아엎어야 할 듯.
↗ news.ycombinator.com
npm supply-chain attack — 또 한 번. Mini Shai-Hulud로 314 패키지 동시 침해. 이번엔 1주 만에 다음 라운드
메인 Shai-Hulud 사건 직후 변종이 같은 패턴 반복. token 탈취 + postinstall hook 자동 전파. npm 생태계가 워낙 transitive deps 깊어서 한 패키지만 잘 골라도 수백 개 패키지가 한 번에 오염됨. 이건 한 번 막아도 막아도 같은 구멍이 다시 열린다는 신호. 내 package.json도 npm audit 한 번 더 돌려봐야겠다
↗ news.ycombinator.com
TanStack npm 공급망 침해 사후 분석
패키지 메인테이너 한 명의 npm 토큰이 털리면 의존성 트리 전체가 노출된다. 우리도 정기적으로 토큰 회전·2FA 다시 점검할 시점. 인디 개발자한테는 npm publish 권한이 곧 신뢰의 단일점이라는 게 무섭다.
↗ news.ycombinator.com
한동안 새 소프트웨어 설치 자제하라
Xe Iaso가 npm/PyPI 공급망 공격이 빈발하는 흐름에서, 신규 설치는 잠시 미루고 기존 lockfile에 의존하라고 권고. 'install new software' 자체가 공격 벡터가 된 시대. Bun lockfile 잘 챙기는 게 새벽이 일상에도 직결됨.
↗ news.ycombinator.com