根據一項研究，NPM JS庫生態系統比大多數人想像的更相互交織。德國的研究人員分析了（PDF）NPM生態系統的依賴圖，他們下載了2018年4月前發布的所有NPM JS包的元數據，創建了一幅巨大的依賴圖。

研究人員還分析了相同包的不同版本，歷史版本，以及包維護者和已知安全漏洞。研究人員想知道，入侵一名或多名維護者的帳號、一個包或多個包的漏洞對 NPM 生態系統會有多大影響，以及一次影響成千上萬的項目的安全事故臨界點。

研究人員發現，臨界點很容易達到，因為一個NPM 包有著異常高數量的依賴，平均一個包加載了39 名不同維護者的79 個第三方包。

一些流行的包使用了100 多名維護者寫的代碼。研究人員發現，只要入侵20 名最有影響力的包維護者帳號就可能危及半數NPM 生態系統。