с переменными окружения • Есть такой же пакет "crossenv", он делает все тоже самое + отправляет ваши переменные злоумышленнику • http://blog.npmjs.org/post/163723642530/ crossenv-malware-on-the-npm-registry
Нет четкой политики по работе с уязвимостями • Нет возможности принудительно обновить все версии, подверженные уязвимости • Нет возможности даже достучаться до своих пользователей
Просуществовала с конца 2011 года • Была обнаружена в апреле 2014 года • Ей было подвержено по разным оценкам до 25% все защищенных соединений • https://habrahabr.ru/post/218661/
in 20 Days • Forbes: Hackers Have Stolen Millions Of Dollars In Bitcoin • hype.codes: Bitcoin Cash network under attack • Bitcoin weaknesses: https://en.bitcoin.it/wiki/ Weaknesses#Security_Vulnerabilities_and_bugs