После новой волны фишинг-атак на сопровождающих, инцидентов с компрометацией популярных пакетов и появления червей, поражающих зависимости, в репозитории NPM решено реализовать дополнительные меры защиты:

• Двухфакторная аутентификация станет обязательной при локальной публикации пакетов.
• Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим. Пользователи будут переведены на протокол FIDO U2F.
• Переход на гранулированные токены, время жизни которых ограничено 7 днями. Классические токены будут объявлены устаревшими и доступ с их помощью будет по умолчанию отключён.
• Применение механизма «Trusted Publishers«, основанного на использовании стандарта OpenID Connect (OIDC) и токенов аутентификации с ограниченным временем действия, которыми обмениваются внешние сервисы и каталог пакетов для подтверждения операции публикации пакета вместо использования традиционных паролей или постоянных токенов доступа к API.

Источник: http://www.opennet.ru/opennews/art.shtml?num=63930