NPM vai adotar publicação de pacotes em etapas para conter ações maliciosas

O NPM está respondendo a uma série de ataques à cadeia de suprimentos que afetaram de forma significativa o ecossistema JavaScript em 2025, com destaque para a campanha conhecida como Shai-Hulud. Diante desse cenário, a plataforma anunciou a intenção de implementar o chamado “staged publishing”, um novo modelo de publicação que adiciona uma etapa intermediária de revisão antes que uma nova versão de um pacote seja disponibilizada publicamente.

A proposta é introduzir uma pausa deliberada no processo de publicação, exigindo uma aprovação explícita durante esse período, acompanhada de autenticação multifator. Com isso, os mantenedores ganham uma oportunidade adicional para identificar alterações acidentais ou potencialmente maliciosas antes que elas se propaguem para outros projetos que dependem daquele pacote.