npm 생태계 중심에 있는 거대한 버그 | 일일일
### 🙋 추천 이유
- npm 생태계의 보안 문제를 이해하고 있는 분에게 추천합니다.
- npm 패키지의 매니페스트와 tarball 간의 불일치를 확인하고, 이를 통해 보안 취약점을 예방할 수 있습니다.
### ✅ 간단 요약
- npm 패키지의 매니페스트는 tarball과 독립적으로 배포되어 검증되지 않습니다.
- 이로 인해 악의적인 공격자가 패키지에 멀웨어를 숨길 수 있는 위험이 존재합니다.
- 현재 생태계는 매니페스트와 tarball의 일관성을 가정하고 있어, 이로 인해 다양한 보안 문제가 발생할 수 있습니다.