Socket Firewall: bloquear paquetes maliciosos durante la instalación

Socket Firewall es una herramienta gratuita que bloquea paquetes maliciosos durante la instalación, ofreciendo a los desarrolladores protección proactiva contra el aumento de ataques a la cadena de suministro...

Antes, los ataques de alto perfil a NPM por parte de mantenedores eran eventos poco frecuentes. Pero, en las últimas semanas, hemos visto paquetes confiables de código abierto atacados por tinycolor, chalk, nx y eslint-config-prettier.

Lo que solía ser un caso atípico ocasional se está volviendo inquietantemente común, impulsado por tácticas de ingeniería social cada vez más sofisticadas dirigidas directamente a los mantenedores. El resultado es que las defensas tradicionales no son suficientes para proteger a los desarrolladores y a las organizaciones que dependen del código abierto.

Pero los atacantes no solo atacan los entornos de producción. También atacan directamente las máquinas de los desarrolladores para ejecutar código malicioso antes de que llegue a producción.

Socket Firewall Free es una herramienta ligera que protege los equipos de los desarrolladores en tiempo real, bloqueando las dependencias maliciosas antes de que lleguen a su portátil o sistema de compilación. No requiere clave API ni configuración.

Simplemente se debe ejecutar: npm i -g sfw y luego anteponer "sfw" a todos los comandos de instalación de los paquetes.

Por ejemplo, se puede ejecutar: sfw npm install lodahs. ¡Observe el cambio de lugar de los caracteres y que el paquete malicioso no se instala!

Si ya ha utilizado la herramienta "npm secure", Socket Firewall le resultará familiar porque ahora se cubre Python y Rust, además de JavaScript, y la compatibilidad con más ecosistemas se está implementando rápidamente. 

• Para JavaScript y TypeScript mediante npm, yarn y pnpm.
• Para Python mediante pip y uv
• Para Rust mediante cargo

Ejemplos de uso

sfw npm install --save some-package@1.33.7