zasadny problem je ked secrety v gitignore nemas a dostanu sa do public repozitara alebo ako tu niekto narve secrety do clientside kodu ( https://kyberia.sk/id/9273340 )

Pokial viem, patient zero nie je znamy, ale, predpoklada sa ze bol infikovany prave cez leaknute npmjs secrety a ked sa do npm vypublishovala dana package a niekto zo supply chainu nemal pinnute verzie svohich dependencies tak to uz islo samo.

Ako sa tomu branit... nuz neviem. jedine asi cez security by obscurity.. spravna MFA - co asi znamena ze publish do npmjs repozitara len manualne nie automatom.

audit pouzivanych dependencies.. ale no tento problem je vsade. pri node je to vypuklejsie kedze na FE sa bez javascriptu nepohnes takze je jasne ze NodeJS ekosystem bude viac targetovany z podobnych dovodov preco je virusmi najviac targetovany WIN medzi OS.