Пакет npm (как и любая библиотека / программное обеспечение) имеет полный доступ к любой среде, в которую вы его поместили. Если вы можете сделать это в Node.js, пакет npm может это сделать.Как менеджер пакетов, npm может эффективно разместить файл в любом месте (например, вредоносный исполняемый файл), и при вызове функции он может делать все, для чего он был запрограммирован (например, запускать вредоносную программу).
Аудит программного обеспечения является реальным, и различные группы с открытым исходным кодом делают основной шаг, чтобы убедиться, что в программном обеспечении нет критических недостатков (преднамеренных или иных).Перед установкой найдите файл package.json и прочитайте его, если что-то кажется вам подозрительным, возможно, вам придется копать глубже (обратитесь за помощью к разработчику или члену сообщества).Если программное обеспечение с открытым исходным кодом, ищите аудиты (или проводите аудит самостоятельно).
В этой статье приведены некоторые предложения: https://medium.com/@nodepractices/were-under-attack-23-node-js-security-best-practices-e33c146cb87d
Рекомендация: попытайтесь стать хакером в белой шляпе.Ознакомьтесь с этой технологией и попробуйте заразить ваш собственный компьютер каким-то созданным вами вредоносным кодом, а затем посмотрите, есть ли способ избежать этого.
Источник: https://docs.npmjs.com/files/package.json
https://docs.npmjs.com/cli/install