¿Os acordáis de los ataques que han

estado azotando el ecosistema de npm y

de JavaScript? Pues madre mía la que se

ha liado, amigos. Que como os acordáis,

ha habido un ataque de un montón de

paquetes de npm, entre ellos estuvieron

los de Tak, ¿vale? Bueno, pues los

hackers que son los responsables, bueno,

más que hackers, cibercriminales, que

son los responsables de ese malware, lo

que ha hecho esta gente, el Team PCP, lo

que hizo es hacer de código abierto el

malware, o sea, abrieron dos

repositorios y lo estaban aquí

disponibles, fijaos, dos repositorios

donde podías acceder al malware de

código abierto y lo podías ver, o sea,

podías entrar, estaban los dos hechos

con Typescript, le podías echar un

vistazo para ver como lo habían hecho,

le podías cambiar cosas, lo podías

replicar, podías hacer lo que te diese

la gana. Tenías las instrucciones

completas de cómo ejecutarlo. Claro, ha

sido bastante polémico porque mucha

gente ha dicho, "GitHub debería eliminar

este repositorio." Ya lo han hecho, ¿eh?

Es raro, duró bastante. Duró bastante,

pero ya lo han quitado. Y fijaos que

aquí tenéis toda la información con

todos los cómics, todo, todo estaba,

todo, estaba todo, todo lo tenían por

aquí, cómo lo habían preparado, dónde

atacaba, todo se podía leer

perfectamente. Bueno, bueno. ¿Por qué lo

han hecho de código abierto? Esa es la

pregunta del millón. Bueno, pues porque

hay una competición. es que estos

cibercriminales han hecho una

competición de 000 donde han hecho el

código abierto el Shulut, el gusano este

y se han asociado con el foro Bridge

para lo que querían era para ver quién

hacía el mayor ataque utilizando este

gusano. Fijaos, eh, lo tenéis aquí.

Entonces, eh queremos ver de lo que sois

capaces. Estamos como muy contentos de

ver lo que podéis hacer. Y ahora que

hemos hecho totalmente código abierto, y

aquí tenéis la versión en el CDN, o sea,

es bastante bestia. Y lo mejor es que,

como os digo, lo habían hecho en GitHub,

totalmente de código abierto en GitHub.

Ya lo han eliminado, por desgracia, ¿qué

le vamos a hacer? Digo por desgracia

porque sinceramente, ¿qué sentido tiene

ponerle puertas al campo? Si es que no

tiene sentido, ¿para qué vas a intentar

ocultar algo que al final la gente que

quiera lo va a poder conseguir de alguna

forma, ¿sabes? O sea, yo creo que no

tiene sentido intentar ocultar este tipo

de cosas. Yo lo hubiera dejado en Githat

de código abierto y ya está. Ya solo

falta que hagan sorteos de Malwar. ¿Te

imaginas? Decían que era vive coding y

es verdad porque amigos, tenemos que

decir una cosa, nos libramos de una

buena porque como estaba hecho con vive

coding en el malware tenía errores. Y

fijaos, aunque habían infectado el

paquete de npm de Mistral entre muchos

otros, resulta que estaba roto porque el

script intentaba ejecutar el archivo

tstacrunner.js, JS, pero lo que escribía

el malware era el archivo

router-init.js.

O sea, que lo único que hizo el malware

en muchos casos era solo instalar van

1.3.13 13 porque se habían equivocado

con un nombre de archivo. O sea, es que

esto lo que tiene la un AI slop de

cuidado. Menos mal que utilizaban

inteligencia artificial y que se

equivocaron con el nombre del archivo

porque si no la hubieran liado pardísima

porque mucha gente instaló Mistral e

entre otros paquetes y se libraron por

esto. Mucha gente por culpa de esto pues

está cerrando temporalmente las pull

request a contribuidores externos. En

este caso es el proyecto de Nux, que no

sé si lo conocéis. Muy bueno este

proyecto. Es un proyecto para utilizar

la query string de la URL como un

estado, un administrador de estado de

React, por ejemplo, para hacer una

búsqueda. Tiene todo el sentido del

mundo porque tú ves aquí va cambiando el

la URL con los query params dependiendo

de lo que vas escribiendo aquí. Fijaos

que está como totalmente sincronizado. Y

si tú entras otra vez a esta URL, pues

puedes ver que se ha inicializado el

estado correctamente. Muy interesante,

Nux. Bueno, pues la gente de Nux por

tema de seguridad han anunciado que no

van a aceptar pull request de gente que

no sean colaboradores del propio

proyecto, ¿vale? que ya está, que dice,

"Mira, pues cerramos las pull request

porque es que pensad que Nux descarga un

2,5 millones de veces a la semana, que

dice que el volumen de Pull Request no

es muy grande, pero claro, solo hace

falta una manzana podrida para destruir

todo el proyecto y que no quieren

enfrentarse a eso y que por lo tanto no

lo van a hacer. Luego una cosa que es

interesante que me ha gusta mucho, os

voy a enseñar una imagen de cómo es

instalar paquetes este año 2026. Así se

siente instalar paquetes en 2026 como un

buscaminas.

Ahí está. Tú haces un pm install,

entonces va bien, va bien. De repente,

ay, mira, tstack, voy a instalar. Oh,

pum, muerte. Así, así se siente hacer un

pmistol hoy en día. Por eso tienes que

utilizar PNPM para que duermas mejor por

las noches. Mucha gente y mira que yo ya

no sé cómo explicar las cosas, tío. Un

Antonio en mi vida. Yo no sé qué hacer.

No sé qué hacer. No sé. A ver, el tema

es el tema es que hay tengo unos cuantos

antonios que en diferentes redes

sociales me han dicho que PNPM me paga,

que qué tengo yo en contra de npm, de B,

de Yar, que por qué, por qué, por qué,

por qué si estuviese vendiendo un máster

de 1500 € de PNPM, ¿sabes? O sea, como

si costase dinero PNPM. A ver, amigo, a

ver, muchos antonios me han dicho, "Pero

si es que lo mismo se puede hacer con

NPM, con B, con no sé qué. deja de

engañar a la gente. Y a ver, aquí es

donde viene la frase de seguro por

defecto. ¿Qué significa por defecto? Por

defecto significa que sin necesidad de

configurarlo

ya es seguro. El tema es que desde

PNPM11, fijaos que veis que dice que

este lanzamiento tiene seguridad por

defecto introducida, no sé qué, no sé

cuánto. ¿Y qué es lo que introdujo por

defecto? Pues, por ejemplo, lo de

Minimum Release age y lo de block Exotic

SubDPS. Dos cosas que por defecto no

están activadas ni en npm, ni en B, ni

en yar, ni en nada, que ojalá lo

estuviera. El día que lo esté, Antonio,

no voy a tener ningún tipo de problema,

ni se me van a caer los anillos, ni

nada, nada, no se va a pasar nada. Os

avisaré el primero, os diré, amigos, nm,

ahora por defecto, tal. Yo mismo hice

una pull request en ban pidiendo esta

funcionalidad. O sea, que ya ves las

cosas que tengo yo en contra B. Si

además me encanta B. La hice yo, la hice

aquí. Mínimum min o mira a ver si busco

mi dud ver si salgo por ahí. No, no

salgo. Ah, bueno, igual es que Ah,

claro, porque la habrán cerrado, claro,

ves, close. ¿Por qué? Porque aquí el

bueno de Midu se interesó en la

seguridad de Antonio, ¿eh? hizo todo

esto y fíjate, fíjate, 300 likes, ¿vale,

Antonio, para que veas que me paga PNPM,

desgraciado. Bueno, y aquí hubo una

discusión y salió hasta aller y tal y

bueno, y se puso y se puso. Bueno, pues

ahora a ver si lo conseguimos que sea

por defecto. Ya sería espectacular, ya

sería espectacular.