От юли 2026 г. npm v12 ще деактивира автоматичното изпълнение на скриптове и отдалеченото извличане на зависимости, за да намали риска от атаки по веригата на доставки. Разработчиците трябва изрично да разрешат тези действия, за да предотвратят пускането на злонамерен код при инсталация.