Pesquisa indica que 70% dos mais de 890 mil pacotes npm publicados nos últimos seis meses são considerados spam

A maioria deles está relacionada ao protocolo Tea, criado para recompensar financeiramente contribuições a projetos de código aberto, onde indivíduos buscam remunerações sem oferecer colaborações relevantes.

Embora esses pacotes não contenham malware, eles poluem o repositório, dificultando a identificação de ameaças reais, além de introduzirem inúmeras dependências indesejadas ao serem instalados. Isso pode fazer com que desenvolvedores legítimos desistam de contribuir com o projeto.

As informações são do site DevClass.

Fonte: https://devclass.com/2024/08/07/npm-overflowing-with-tea-spam-spills-out-from-70-of-all-new-packages-research/

user1

3 meses atrás

Seria legal se houvesse alguma forma da própria comunidade marcar pacotes como SPAM, e isso ser usado como alguma forma de filtrar pacotes na instalação ou pesquisa no site do NPM.

Imagino algo como, ao chamar o comando npm install pacote, termos uma mensagem de confirmação do tipo: O pacote informado foi marcado como SPAM pela comunidade, isso pode trazer consequências ruins para seu projeto, deseja instalar mesmo assim?.

daiangm

3 meses atrás

Há duas semanas, fiz um estudo sobre uma biblioteca chamada is-number, o motivo dela ser tão popular e como ela estava vinculada à bibliotecas maiores, então cheguei no seguinte resultado: