Supply chain en npm vs PyPI: comparé mis dos simulaciones y el vector más peligroso no es el que todos creen

Corrí simulaciones de supply chain attack sobre npm y PyPI por separado. Cuando los puse uno al lado del otro, el patrón que emergió me incomodó: el ecosistema que todo el mundo vigila no es el más vulnerable. Acá va el meta-análisis cruzado con los números reales.