Atenção! Você pode estar instalando um pacote npm malicioso.
Há alguns dias, exatamente 4 dias atrás, criei um pacote NPM bobo apenas para testar algumas configurações do Rollup. O pacote transforma um número para o padrão da moeda brasileira.
Esse o pacote:
import { moneyFormatBR } from 'money-format-br'
const value = moneyFormatBR(10)
// R$ 10,00
Já foi baixado 181 vezes, pode-se conferir aqui:
https://www.npmjs.com/package/money-format-br
Isso tudo me levantou uma preocupação (que até então eu tinha negligenciado), é algo tão simples, juntando ao fato de ninguém me conhecer e já ir colocando meu código em seus respectivos projetos.
O que impede de pacotes de terceiros possuírem algo malicioso? Nada!
Neste caso, eu sou o único contribuidor, e igual ao meu caso, existem vários outros pacotes que devs instalam sem nem olhar o código.
Caso tivessem olhado meu código, iriam ver que a função faz apenas isso:
value.toLocaleString('pt-BR', { style: 'currency', currency: 'BRL' })
E ai, como vocês se protegem de pacotes de terceiros?