Deno 2.8.2: criptografía post-cuántica y --bundle más afilado
Deno 2.8.2 trae ML-DSA (FIPS 204) y ML-KEM (FIPS 203) post-cuánticos, más ChaCha20-Poly1305, SHAKE/cSHAKE/TurboSHAKE y SHA-3 HMAC. Suma mejor resolución de dependencias en --bundle con --minify, kernel de Jupyter reescrito en JS y --env-file en tasks. Cripto seria de fábrica, sin libs externas.
Bun reescrito de Zig a Rust por agentes de IA: ahora qué
Sigue la onda expansiva del port de Bun de Zig a Rust: ~1 millón de líneas y 2.188 archivos traducidos por agentes de Claude Code en nueve días, pasando 99.8% del test suite. El detalle incómodo: ship con +10.000 bloques unsafe en 700+ archivos — un port fiel de gestión manual de memoria no se vuelve memory-safe en el camino. La release estable sigue desde Zig; el Rust es experimental hasta paridad total.
OpenTelemetry lanza Blueprints para domar la complejidad
OTel arranca la iniciativa Blueprints: guías prescriptivas, patrones de arquitectura e implementaciones de referencia para desplegar observabilidad a escala sin morir en el intento, cubriendo Kubernetes, infra, apps y entornos cloud-native. Adobe, Mastodon y Skyscanner ya aportaron casos. Si arrancás OTel desde cero, esto te ahorra meses de prueba y error.
Vitest 4.1.8: cadencia de patches sobre la línea 4.1
Vitest publicó 4.1.8 el 1 de junio, manteniendo viva la línea 4.1 que trajo test tags, hooks aroundEach/aroundAll para envolver tests en transacciones o spans, el builder test.extend con inferencia de tipos y un reporter dedicado para agentes de IA. Soporte Vite 8 desde el día uno.
Anatomía de Miasma: 32 paquetes @redhat-cloud-services trojanizados
El writeup de Microsoft Security disecciona el origen: el 1 de junio se comprometió el pipeline CI/CD de RedHatInsights/javascript-clients, publicando 32 paquetes bajo @redhat-cloud-services (90+ versiones) vía el workflow OIDC legítimo de GitHub Actions — con firmas de provenance auténticas. En CI escarba la memoria del runner, escala con sudo sin password y republica paquetes con provenance SLSA forjada. Marker: Miasma: The Spreading Blight.
StepSecurity: análisis del worm Phantom Gyp
Desglose técnico del vector binding.gyp y cómo detectarlo en tu pipeline.
Tendencias Destacadas
Semana negra para el supply chain de npm: Miasma (v1 y v2) + IronWorm en paralelo. El patrón nuevo es doble — abusar de binding.gyp para saltarse el bloqueo de lifecycle scripts, y envenenar configs de agentes de IA para ejecutar al abrir el repo en el editor. Asumí que el editor es superficie de ataque.
La cripto post-cuántica deja de ser teoría: Deno la mete de fábrica (ML-DSA/ML-KEM). Empezá a pensar tus protocolos de firma/intercambio de claves con esquemas PQC en mente.
Deno 2.8.2: post-quantum crypto and sharper --bundle
Deno 2.8.2 adds post-quantum ML-DSA (FIPS 204) and ML-KEM (FIPS 203), plus ChaCha20-Poly1305, SHAKE/cSHAKE/TurboSHAKE and SHA-3 HMAC. It sharpens --bundle dependency resolution with --minify, a JS-rewritten Jupyter kernel and --env-file in tasks. Serious crypto in the box, no external libs.
Bun rewritten from Zig to Rust by AI agents: now what
The fallout from Bun's Zig-to-Rust port continues: ~1M lines and 2,188 files translated by Claude Code agents in nine days, passing 99.8% of the test suite. The uncomfortable detail: it ships with 10,000+ unsafe blocks across 700+ files — a faithful port of manual memory management does not become memory-safe in transit. Stable still ships from Zig; Rust stays experimental until full parity.
OpenTelemetry launches Blueprints to tame complexity
OTel kicks off the Blueprints initiative: prescriptive guidance, architectural patterns and reference implementations to deploy observability at scale, covering Kubernetes, infra, apps and cloud-native environments. Adobe, Mastodon and Skyscanner contributed cases. If you're starting OTel from scratch, this saves months of trial and error.
Vitest 4.1.8: steady patch cadence on the 4.1 line
Vitest shipped 4.1.8 on June 1, keeping the 4.1 line alive — the one that brought test tags, aroundEach/aroundAll hooks for wrapping tests in transactions or spans, the type-inferring test.extend builder and a dedicated AI-agent reporter. Vite 8 support from day one.
Anatomy of Miasma: 32 trojanized @redhat-cloud-services packages
Microsoft Security's writeup dissects the origin: on June 1 the RedHatInsights/javascript-clients CI/CD pipeline was compromised, publishing 32 packages under @redhat-cloud-services (90+ versions) via the legitimate GitHub Actions OIDC workflow — with authentic provenance signatures. In CI it scrapes runner memory, escalates via passwordless sudo and republishes packages with forged SLSA provenance. Marker: Miasma: The Spreading Blight.
StepSecurity: Phantom Gyp worm analysis
Technical breakdown of the binding.gyp vector and how to detect it in your pipeline.
Notable Trends
Brutal week for npm's supply chain: Miasma (v1 and v2) plus IronWorm running in parallel. The new pattern is twofold — abusing binding.gyp to bypass lifecycle-script blocking, and poisoning AI-agent configs to execute the moment you open the repo in your editor. Treat the editor as attack surface.
Post-quantum crypto stops being theory: Deno ships it in-box (ML-DSA/ML-KEM). Start designing your signing and key-exchange protocols with PQC schemes in mind.
Deno 2.8.2 : crypto post-quantique et --bundle affiné
Deno 2.8.2 ajoute le post-quantique ML-DSA (FIPS 204) et ML-KEM (FIPS 203), plus ChaCha20-Poly1305 et SHA-3 HMAC. Améliore --bundle avec --minify et --env-file dans les tasks.
Bun réécrit de Zig à Rust par des agents IA : et maintenant
Les retombées du port de Bun de Zig à Rust continuent : ~1M de lignes traduites par des agents Claude Code en neuf jours, 99.8% des tests passés. Détail gênant : 10 000+ blocs unsafe. La stable reste en Zig.
OpenTelemetry lance Blueprints
OTel lance l'initiative Blueprints : guides prescriptifs, patterns d'architecture et implémentations de référence pour déployer l'observabilité à l'échelle. Adobe, Mastodon et Skyscanner ont contribué des cas.
Vitest 4.1.8 : cadence de patches sur la ligne 4.1
Vitest a publié 4.1.8 le 1er juin, maintenant la ligne 4.1 : test tags, hooks aroundEach/aroundAll, builder test.extend typé et reporter dédié aux agents IA. Support Vite 8 dès le premier jour.
Anatomie de Miasma : 32 paquets @redhat-cloud-services trojanisés
Le writeup de Microsoft Security dissèque l'origine : le 1er juin, le pipeline CI/CD de RedHatInsights/javascript-clients a été compromis, publiant 32 paquets sous @redhat-cloud-services via le workflow OIDC légitime de GitHub Actions, avec signatures de provenance authentiques.
StepSecurity : analyse du ver Phantom Gyp
Analyse technique du vecteur binding.gyp et comment le détecter.
Tendances Notables
Semaine noire pour le supply chain npm : Miasma (v1 et v2) plus IronWorm en parallèle. Le nouveau pattern est double — abuser de binding.gyp et empoisonner les configs d'agents IA. Considérez l'éditeur comme une surface d'attaque.
La crypto post-quantique cesse d'être théorique : Deno l'intègre nativement (ML-DSA/ML-KEM). Pensez vos protocoles de signature et d'échange de clés avec PQC en tête.