اعتماد مخصوصاً وقتی پای ماژول های متن باز در میان باشد. به تازگی اتفاقی افتاد که در حکم زنگ خطری برای توسعه دهندگان جاواسکریپت بود زمانی که 39 پکیج بدخواهانه در NPM (مخزن مدیریت پکیج Node.js) شناسایی و از آن حذف شدند.

به گفته سی جی سیلوریو مدیر ارشد اجرایی  npm اکانتی به نام hackstack پکیج هایی را در مخزن npm منتشر کرده بود. این پکیج ها دارای اسامی مشابه با پکیج های موجود بوده اند. «هدف جمع آوری داده از کاربران فریب خورده بوده است».

تمامی پکیج های این اکانت از npm حذف شدند و ایمیل صاحب اکانت از دسترسی به npm حذف شده است. البته در زمانی که هر فرد می تواند ایمیل‌های بسیاری بسازد این اقدام کافی نیست.

به صرف اینکه یک پکیج دارای اسم مشابه با سایر پکیج ها است نمی‌توان آن را بدخواه دانست. اما در این مورد تشابه اسمی عمدی بود. پکیج بدخواه cross-env نام داشت که قابلیت‌های مشابه با پکیج سالم و معروف crossenv را اراءه می‌داد و به علاوه قابلیتی برای دزدی اطلاعات داشت. پکیج بدخواه اطلاعات ذخیره شده در متغیرهای محیطی را به یک سرور ثالث می‌فرستاد.

متغیرهای محیطی اطلاعات مهمی مثل اطلاعات اکانت و توکن های احراز هویت و کلیدهایی را ذخیره می‌کنند که دسترسی به سایر برنامه‌ها سرویس ها و APIها فراهم می‌کنند. بنابراین متغیرهای محیطی منبع باارزشی برای مهاجمان هستند.

برای اطمینان از حذف کامل چنین پکیج هایی باید تمام وابستگی (dependency) های کد به طور بازگشتی بررسی شوند. اگر این پکیج ها در سلسله مراتب کد پیدا شدند همه توکن های مخفی را مجدداً تولید کنید.

در بعضی موارد hackstack از اسامی ای استفاده کرده بود که با پکیج های موجود یکسان بودند اما دارای شماره ورژن متفاوتی بودند که امکان اشتباه را افزایش می داد. Npm در حال کار روی پروژه هایی برای افزایش امنیت است اما آن‌ها در مراحل ابتدایی هستند.