npm ajoute une protection temporaire et préventive sur les comptes ayant un fort impact, par exemple sur les dépôts ayant des codes / projets très actifs et ayant une modification sensible des accès ou du code. 

Objectif : renforcer la protection sur une attaque, une tentative d'accès et de prise de contrôle. 

Par exemple, quand un compte modifie son adresse mail ou utilise un code de récupération à 2 facteurs, il sera placé en lecture seule durant 72 heures et une alerte sera automatiquement envoyée à l'ancienne adresse mai. "Ceci neutralise une faille exploitée lors de récentes attaques de la chaîne d'approvisionnement : un compte compromis modifie son adresse e-mail, génère un nouveau jeton et en publie des versions malveillantes." commente GitHub

Durant cette "quarantaine", il est toujours possible de télécharger et d'installer le paquet, de voir l'organisation et l'équipe, d'accéder aux paramètres. Par contre, les actions susceptibles d'affecter le registre ou la sécurité du compte (publication, gestion des jetons, modification de la visibilité des paquets ou modification de l'appartenance à une organisation ou à une équipe) sont suspendues jusqu'à la levée de la mesure de protection.

Après 72 heures, la proctection temporaire est levée.