npm blockiert ab Version 12 standardmäßig automatische Paketinstallations-Skripte, eine Praktik, die Konkurrenten wie Yarn, pnpm und Bun bereits etabliert hatten.
Eine in Rust geschriebene Malware kompromittiert NPM-Pakete, stiehlt Entwickler-Credentials und nutzt diese zur Ausbreitung in der Software-Lieferkette.
