El gestor de paquetes de Node.js (npm) permite al autor de un paquete malicioso infectar otros paquetes y propagar scripts a lo largo del ecosistema npm y penetrar proyectos legítimos. npm es a Node.js lo que apt-get es a linux o gem a Ruby. Es un sistema rápido para descargar paquetes y usarlos en proyectos de programación. Es rápido, cómodo, bien diseñado y por eso la mayoría de programadores JavaScript lo adoran. Pero según un ingeniero de Google tiene algunos fallos que permitirían a un atacante experto causar el caos en el ecosistema JS.