я имею в виду, в какой момент он придёт?

В момент следующей загрузки зависимостей без кеша

почему может произойти загрузка зависимостей?

Новая машина, другая машина, зависимость подключенная кем-то другим

так а package-lock не лочит хэш кода что ли?

он же коммитится

перед тем как отправить в прод ребята из npm рекомендуют делать shrinkwrap

У тебя на всех машинах и все в команде пишут npm ci?

если в мире зависимостей существует такой бэкдор, то, конечно, нужно использовать все доступные практики и способы защиты, какие только возможны. это же полное днище

зловредный код на компе разработчика тоже неприятен. конечно не так, как на проде

Подпись пакетов

Смотрим в сторону дебиана

И других

Я вижу воркфлоу таким:

1. Разработчик ставит какую-то зависимость: npm install --save beerjsplugin
2. Зависимость добавляется в основной package.json проекта
3. Зависимость скачивает свои зависимости
4. После установки запрошенной зависимости и всех её зависимостей автоматически запускается npm audit, который чернокоробочно что-то проверяет и даёт уверенный ответ, всё ли в коде нормально. Если не нормально — зовёт человека и не даёт ничего сделать, пока человек не подтвердит, что всё подозрительное проверил лично
5. В package-lock.json проекта прописываются все жёстко зафиксированные (установленные только что) версии каждой зависимости, у каждой зависимости считается хэш кода и тоже остаётся в package-lock.json

Не понимаю, как в этом воркфлоу можно получить вредоносный код. Расскажите, пожалуйста?

Следующий человек делает пулл и npm install вместо npm ci

И что? Почему скачивается не то, что записано в package-lock.json?

Хз, спроси npm install

Ну так это дырища и надо её срочно чинить

Если есть package-lock.json, естественно, должно скачиваться ТОЛЬКО то, что там есть и проверено