{"id":1156,"date":"2026-06-11T08:02:43","date_gmt":"2026-06-11T08:02:43","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/11\/github-deshabilitara-los-scripts-de-instalacion-de-npm-de-forma-predeterminada-para-detener-los-ataques-a-la-cadena-de-suministro\/"},"modified":"2026-06-11T08:02:43","modified_gmt":"2026-06-11T08:02:43","slug":"github-deshabilitara-los-scripts-de-instalacion-de-npm-de-forma-predeterminada-para-detener-los-ataques-a-la-cadena-de-suministro","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/11\/github-deshabilitara-los-scripts-de-instalacion-de-npm-de-forma-predeterminada-para-detener-los-ataques-a-la-cadena-de-suministro\/","title":{"rendered":"GitHub deshabilitar\u00e1 los scripts de instalaci\u00f3n de npm de forma predeterminada para detener los ataques a la cadena de suministro"},"content":{"rendered":"
\n

GitHub tiene anunciado<\/a> lo que dijo son \u00abcambios importantes\u00bb que llegar\u00e1n a la versi\u00f3n 12 de npm, uno de los cuales desactiva los scripts de instalaci\u00f3n de forma predeterminada para combatir las amenazas a la cadena de suministro de software.<\/p>\n

Los cambios tienen como objetivo combatir las t\u00e9cnicas de ataque que abusan del comando \u00abnpm install\u00bb para desencadenar la ejecuci\u00f3n de c\u00f3digo malicioso utilizando ganchos del ciclo de vida de npm. \u00abNpm install\u00bb se utiliza para descargar e instalar todas las dependencias necesarias para un proyecto Node.js. La versi\u00f3n 12 est\u00e1 prevista para su lanzamiento el pr\u00f3ximo mes.<\/p>\n

Al describir los scripts del ciclo de vida en el momento de la instalaci\u00f3n como la \u00absuperficie de ejecuci\u00f3n de c\u00f3digo m\u00e1s grande en el ecosistema npm\u00bb, GitHub dicho<\/a> el comando \u00abnpm install\u00bb ejecuta scripts de cada dependencia transitiva, como resultado de lo cual un \u00fanico paquete comprometido en cualquier parte del \u00e1rbol de dependencias puede ejecutar c\u00f3digo arbitrario en una m\u00e1quina de desarrollo o en un ejecutor de CI.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Al bloquear tales comportamientos, la idea es requerir la aprobaci\u00f3n expl\u00edcita del usuario antes de que la ejecuci\u00f3n del c\u00f3digo se inicie autom\u00e1ticamente durante la \u00abinstalaci\u00f3n npm\u00bb, en lugar de ser confiable de forma predeterminada. \u00abHacer la opci\u00f3n de ejecuci\u00f3n de script cierra ese camino y lo mantiene a un comando de distancia para los paquetes en los que conf\u00eda\u00bb, dijo GitHub.<\/p>\n

Los cambios se enumeran a continuaci\u00f3n:<\/p>\n