GitHub desativa scripts de execução automática no npm

A partir de julho de 2026, o npm 12 desativa por padrão os scripts preinstall, install e postinstall, não só em pacotes diretos, mas também em dependências transitivas. A mudança é uma resposta direta a ataques reais na cadeia de suprimentos: campanhas como as que comprometeram eslint-config-prettier, os pacotes Picasso da Toptal e a família Shai-Hulud usaram exatamente esses scripts para executar código malicioso durante npm install. O npm passa de um modelo de confiança implícita para um de aprovação explícita: cada script precisa ser registrado em package.json via npm approve-scripts, com avisos já ativos desde a versão 11.16.0.

O bloqueio se estende a vetores menos óbvios: dependências Git são proibidas por padrão (a menos que autorizadas com --allow-git), e URLs remotas como tarballs HTTPS exigem --allow-remote. Isso fecha falhas exploradas em ataques recentes onde arquivos .npmrc em repositórios Git sobrescreviam o binário git local. O npm é o último grande gerenciador a adotar essa postura, Yarn, pnpm e Bun já bloqueavam scripts de terceiros há anos.

Essa mudança reduz drasticamente a superfície de ataque mais explorada no ecossistema JavaScript: a execução automática de código durante instalação. Um único pacote comprometido em qualquer nível da árvore de dependências não consegue mais rodar payloads sem permissão explícita. Isso afeta diretamente equipes que usam CI/CD com npm install não auditado, desenvolvedores que instalam bibliotecas sem revisar seu package.json, e projetos que dependem de compilações nativas via node-gyp ou scripts prepare de dependências locais ou linkadas. Não é só sobre segurança teórica, é sobre impedir que ataques como os de roubo de credenciais, mineração de criptomoedas e backdoors em pipelines de produção continuem funcionando com o mesmo padrão simples de npm install.

Desenvolvedores precisam atualizar para npm 11.16.0 agora para ver avisos antecipados nos fluxos afetados. O comando npm approve-scripts --allow-scripts-pending lista todos os scripts pendentes de aprovação; npm approve-scripts grava a lista aprovada em package.json. Projetos que usam node-gyp, dependências Git ou tarballs remotos quebrarão silenciosamente no npm 12, exigindo flags explícitas ou ajustes na configuração. Equipes devem auditar suas dependências com npm ls --all --depth=10 e testar builds locais e em CI com NPM_CONFIG_ALLOW_SCRIPTS=false para simular o comportamento do npm 12. Ignorar isso gera falhas de build inesperadas em julho de 2026, não erros de segurança, mas interrupções operacionais reais.