سجل npm هو نظام توزيع الحزم لمشاريع JavaScript وNode.js. ينشر المطورون فيه حزمًا مسماة ومؤرشفة بالإصدارات، وتقوم أدوات مثل npm install بجلب تلك الإصدارات من السجل. ولأن إدارة الاعتمادات مؤتمتة بدرجة كبيرة، فالسجل ليس مجرد فهرس: بل هو جزء من سلسلة توريد البرمجيات وحدّ ثقة رئيسي.
في الأمن السيبراني، يكتسب سجل npm أهمية لأن المهاجمين قد يستهدفون حسابات الناشرين أو رموز الوصول أو سير عمل النشر نفسه. إذا تمكنوا من رفع نسخة خبيثة من حزمة شائعة، فقد تنتشر تلك النسخة بسرعة إلى أجهزة المطورين، وأنظمة CI، وملفات القفل، وذاكرات التخزين المؤقت للبناء. كما أن بعض الحزم تشغّل نصوصًا برمجية لدورة الحياة أثناء التثبيت، ما قد يحوّل تحديثًا روتينيًا إلى تنفيذ للشفرة. تشمل وسائل الحماية المصادقة الثنائية للمشرفين، ورموزًا محددة النطاق قصيرة العمر، وأسرار CI المقيّدة، ومراجعة ملفات القفل، وتعطيل نصوص التثبيت حيثما كان ذلك مناسبًا.



