Woao... il ne se passe pratiquement pas une semaine sans qu'on découvre un package npm malveillant. Et vues les dépendances monstrueuses de n'importe quel projet, ça me donne envie de rester loin de cet écosystème. (Je rappelle que dans le monde npm les gens utilisent UN PACKAGE pour savoir si un nombre est pair (https://www.npmjs.com/package/is-even) au lieu de faire un simple modulo.)
Et quand on sait que npm est lancé aussi sur des machines de prod pour les installations, je vous laisse imaginer les risques.
Non mais on rigole sur le package "is-even", mais vous voulez voir les sources de ce package ?
https://github.com/i-voted-for-trump/is-even/blob/master/index.js
OUI, IL DÉPEND DU PACKAGE IS-ODD.
*facepalm*
(et bien sûr, les sources du package is-odd: https://github.com/i-voted-for-trump/is-odd/blob/master/index.js)
(Permalink)