npm se compose d'un client en ligne de commande, également appelé npm, et d'une base de données en ligne de paquets publics et privés payants, appelée le registre npm. Le registre est accessible via le client, et les paquets disponibles peuvent être parcourus et recherchés via le site Web de npm. Le gestionnaire de paquets et le registre sont gérés par npm, Inc.
Depuis la version 0.6.3 de Node.js, npm fait partie de l'environnement et est donc automatiquement installé par défaut[2]. npm fonctionne avec un terminal et gère les dépendances pour une application. Il permet également d'installer des applications Node.js disponibles sur le dépôt npm. En avril 2020, GitHub annonce l'acquisition de npm[3].
Histoire
npm est entièrement écrit en JavaScript et a été développé par Isaac Z. Schlueter en s'inspirant d'autres projets similaires tels que PEAR (PHP) et CPAN (Perl)[4].
Anecdotes
En 2016, Azer Koçulu a retiré son paquet très utilisé left-pad du registre npm, ce qui a eu un impact significatif sur de nombreux projets dépendant de ce paquet[5]. À la suite de cet événement, npm Inc. a modifié sa politique permettant aux développeurs de retirer leurs paquets s'ils ont moins de 24 heures. Pour les paquets plus anciens, des étapes spécifiques doivent être suivies impliquant le personnel de support de l'entreprise[6].
Un exemple notable d'un paquet NPM légitime qui a été compromis est celui de event-stream. En 2018, un attaquant a réussi à injecter du code malveillant dans ce paquet populaire en prenant le contrôle d'un des dépôts GitHub du projet. Cela a permis à l'attaquant de déployer une version malveillante de event-stream qui contenait un logiciel de minage de cryptomonnaie. Cette attaque a affecté de nombreux utilisateurs qui ont téléchargé la version compromise du paquet, mettant en évidence les risques liés à la confiance accordée aux dépendances tierces dans le développement logiciel[7],[8].
Fin 2021, la bibliothèque NPM populaire coa a été détournée pour intégrer un code malveillant destiné à voler les mots de passe des utilisateurs[9].
En janvier 2022, le mainteneur de deux paquets populaires, colors et faker, a poussé des modifications corrompant ses propres fichiers de manière délibérée, ce qui a provoqué des impressions de texte inutile dans une boucle infinie[10],[11],[12].
En mars 2022, le paquet node-ipc, téléchargé plus d'un million de fois par semaine, a commencé à effacer les machines de développeurs russes et biélorusses présumés, en protestation contre l'invasion de l'Ukraine par la Russie[13]. De la même manière, Event-source-polyfill, es5-ext, et styled-components, ont été transformés en protestware, affichant des messages pacifiques ou redirigeant les utilisateurs vers des sources d'informations sur la guerre en Ukraine[5].
Le paquet NPM e2eakarev a été publié comme un "paquet de protestation pour la Palestine", affichant un message en anglais appelant à la paix si le paquet est lancé en Israël. Ce paquet, bien qu'il ne soit pas malveillant, illustre le risque que des fonctionnalités non intentionnelles ou malveillantes passent inaperçues dans des applications largement utilisées[14].
Fin 2023, des chercheurs en cybersécurité ont identifié une vague de paquets NPM malveillants visant à exfiltrer des configurations Kubernetes et des clés SSH vers un serveur distant. Plusieurs paquets, initialement légitimes, comme hardhat-gas-report, sont devenus malveillants après des mises à jour, indiquant un vol ciblé de clés privées Ethereum. Un autre paquet, gcc-patch, prétendait être un compilateur GCC mais contenait un mineur de cryptomonnaie[15].
Nom
Contrairement à la croyance populaire, npm n'est pas en fait un sigle pour "Node Package Manager". Le précurseur de npm était un utilitaire bash nommé «pm», qui était le nom abrégé de «pkgmakeinst» , une fonction bash qui installait diverses choses sur diverses plateformes. Si npm devait un jour être considéré comme un sigle, ce serait comme «node pm» ou, potentiellement, «new pm»[16].
D'après l'auteur, npm n'est pas le sigle de « Node Package Manager ». Comme il le dit en plaisantant :
« Contrairement à la croyance de beaucoup, « npm » n'est en fait pas l'acronyme de « Node Package Manager ». Il s'agit d'un rétroacronyme signifiant « npm is not an acronym » (« npm n'est pas un acronyme ») (si le nom avait été ninaa, ç'aurait été un acronyme, et donc nommé de manière incorrecte)[17]. »
Il précise par la suite :
« Donc, plus sérieusement, le projet « npm » est nommé d'après son utilitaire en ligne de commande, lui-même ainsi nommé pour être facilement écrit par un programmeur droitier sur un clavier US QWERTY, finissant avec l'annulaire droit en position pour taper la touche - pour les flags et autres arguments en ligne de commande. Cet utilitaire s'écrit toujours en bas de casse, même s'il est en tête de la plupart des phrases dans lesquelles il intervient[17]. »
Toutefois, le fichier README.md inclus dans la toute première version de npm (npm-0.0.1.zip[18]) indique clairement : « The Node Package Manager ».