حزمة npm هي وحدة JavaScript تُنشر في سجل npm بحيث يمكن للمطورين تثبيتها وإعادة استخدامها في التطبيقات وأدوات البناء والبرامج النصية. يمكن أن تحتوي الحزم على الشيفرة والبيانات الوصفية والتبعيات ومعلومات الإصدار، وعادةً ما يتم جلبها تلقائيًا أثناء التطوير أو التكامل المستمر.
في الأمن السيبراني، تكتسب حزم npm أهمية لأنها تقع ضمن سلسلة توريد البرمجيات. قد يحاول المهاجمون اختراق حساب أحد المشرفين، أو نشر تحديث خبيث، أو إدخال حزمة مشابهة في الشكل يتم تثبيتها عن طريق الخطأ. ويقلل المدافعون هذه المخاطر عبر مراجعة مصدر الحزمة، وتثبيت إصدارات التبعيات، ومراقبة تغييرات إدارة الحزمة، وفحص البرامج النصية المشبوهة التي تُشغَّل بعد التثبيت أو أي نشاط شبكي غير متوقع. ولأن الحزم يعاد استخدامها على نطاق واسع، فإن وحدة واحدة مخترقة قد تؤثر في العديد من المشاريع دفعة واحدة.



