Я вижу воркфлоу таким:
1. Разработчик ставит какую-то зависимость: npm install --save beerjsplugin
2. Зависимость добавляется в основной package.json проекта
3. Зависимость скачивает свои зависимости
4. После установки запрошенной зависимости и всех её зависимостей автоматически запускается npm audit, который чернокоробочно что-то проверяет и даёт уверенный ответ, всё ли в коде нормально. Если не нормально — зовёт человека и не даёт ничего сделать, пока человек не подтвердит, что всё подозрительное проверил лично
5. В package-lock.json проекта прописываются все жёстко зафиксированные (установленные только что) версии каждой зависимости, у каждой зависимости считается хэш кода и тоже остаётся в package-lock.json
Не понимаю, как в этом воркфлоу можно получить вредоносный код. Расскажите, пожалуйста?