セキュリティ企業Koiによると、NPMには100以上の認証情報を盗む悪意のあるパッケージが存在し、これにより攻撃者が「Remote Dynamic Dependencies」という仕組みを利用して126のマルウェアパッケージを流入させ、86,000回以上ダウンロードされた。これらのパッケージは、外部の不正なサイトからコードを自動的にダウンロードすることで、開発者の目に触れない形で悪意のある依存関係をインストールする。攻撃者は、IPアドレスに基づいて異なるペイロードを配信する手法や、時間をかけて信頼を築いてから悪意のあるコードに切り替える手法を用いている。Koiは、このような依存関係が開発者やセキュリティスキャナーには「見えない」とし、多くの機密情報を収集する危険があると警告している。定期的にNPMからパッケージをダウンロードする開発者は注意が必要である。