mastodon.xyz is one of the many independent Mastodon servers you can use to participate in the fediverse.
A Mastodon instance, open to everyone, but mainly English and French speaking.

Administered by:

Server stats:

750
active users

#nodejs

25 posts21 participants2 posts today

So, um, how do I do the NPM equivalent of

$ cargo install --locked mergiraf

Let’s say I want to install https://www.npmjs.com/package/@google/gemini-cli — how do I prevent npm install from fetching malware-ridden dependencies that got published today, and instead have it used the locked version that the maintainers of gemini-cli have verified?

npm@google/gemini-cliGemini CLI. Latest version: 0.4.1, last published: 5 days ago. Start using @google/gemini-cli in your project by running `npm i @google/gemini-cli`. There are 11 other projects in the npm registry using @google/gemini-cli.
Continued thread

🧵 …nun noch auf Deutsch (oben englisch) zum JavaScript NPM Hack und wie dies einiges an Web-Software betrifft.

»Neuer NPM-Großangriff — Selbst-vermehrende Malware infiziert Dutzende Pakete:
Womöglich stecken hinter der Attacke dieselben Angreifer wie beim letzten Mal. Ihr Schadcode trägt den Namen eines prominenten Science-Fiction-Monsters in sich.«

😠 heise.de/news/Neuer-NPM-Grossa

heise online · Neuer npm-Großangriff: Selbst-vermehrende Malware infiziert Dutzende Pakete
More from Dr. Christopher Kunz