@Rimfire w JS dodaje się zależności pisząc npm install x, to pobiera paczkę z publicznej biblioteki i dodaje ją do listy zależności w package.json. Paczek js jest miliardy, można napisać npm install typescript żeby mieć Typescripta etc. Ktoś zrobił paczkę o nazwie malware, więc można pobrać npm install malware w projekcie. A malware to dosłowanie nazwa na złośliwe oprogramowanie / wirus. Więc instaluje wirusa, i npm pokazuje, że 12 osób tygodniowo to robi. To dowcip.

Jak ktoś pobierze repozytorium z githuba z takim package.json i zrobi npm install to zainstaluje mu też paczkę malware. Tu to oczywisty dowcip, ale dependecies mogą zrobić krzywdę, bo to obcy kod działajacy na maszynie, jeszcze teraz mamy NodeJS które uruchamia javascript bez przeglądarki ze wsparciem czytania plików więc możesz napisać skrypt który kasuje pliki z dysku, wirusy pisane w JS to coś co da się zrobić, tymbardziej, że NodeJS ma duże uprawnienia, a procesy są często odpalane w konsoli z uprawnieniami administratora.

https://www.npmjs.com/package/malware

@Deykun dziękuję w imieniu tych mniej kumatych ode mnie ziomków co nie zrozumieli a teraz wiedzą na czym polega żart.