在过去的一年中，npm生态系统遭遇的攻击事件大幅上升，揭示了软件供应链安全威胁的重大变革。曾经以域名抢注为主的攻击方式，如今已演变为更为复杂的入侵行为，攻击者专门针对开发者、持续集成（CI）管道以及支撑现代开发的可信自动化系统。这一变化意味着，安全负责人需要警惕这些不再是小众的开发者失误，而是直接威胁到生产系统、云基础设施及数百万下游应用的风险。