Onderzoekers vinden een manier waarop schadelijke NPM-bibliotheken kwetsbaarheidsdetectie kunnen omzeilen

Met andere woorden, een tegenstander kan een schijnbaar goedaardig pakket publiceren in het formaat van een pre-release versie, dat dan mogelijk wordt opgepikt door andere ontwikkelaars en niet wordt gewaarschuwd dat het pakket kwaadaardig is, ondanks bewijs van het tegendeel. Hoewel de projectbeheerders de discrepantie tussen reguliere npm pakketversies en pre-release versies behandelen als een bedoelde functionaliteit, maakt dit het ook rijp voor misbruik door aanvallers die het open source ecosysteem willen vergiftigen. Om dergelijke bedreigingen tegen te gaan, is het raadzaam dat ontwikkelaars vermijden npm-pakketten te installeren met een pre-release versie, tenzij de bron bekend staat als volledig betrouwbaar.