Статья месяца на хабре: https://habrahabr.ru/company/ruvds/blog/346442/ Спойлер: это всё только в теории, фантазии автора. Хотя, вероятно, на практике это везде и всюду, просто мы не замечаем.
Ну и раз такая тема, можно вспомнить ещё пару материалов о пакетных менеджерах.
О глупых зависимостях в npm пакетах: https://habrahabr.ru/post/307822/
А вот тут уже реальный анализ безопасности всех npm пакетов: https://habrahabr.ru/company/ruvds/blog/335602/
А вот тут автор пытается изменить ситуацию, добавив контроль за правами доступа пакетов: https://habrahabr.ru/post/336334/
Некоторые говорят о необходимости модерируемого репозитория, по аналогии с Apple store, но, очевидно, это породит цензуру, которые многие не захотят принимать. Примеры уже были: https://habrahabr.ru/post/299650/