一个被包括五角大楼在内的机构使用的流行 Node.js 库由一名居住在莫斯科的 Yandex 员工 Denis Malinochkin 维护。美国安全公司对此发出了警告。然而对于开源项目而言，这不是什么新鲜事，绝大多数开源项目、不管是否流行，它们通常是由一个人维护的。以 NPM（Node Package Manager）生态系统为例，在下载量超过 100 万的项目中，维护者只有一个人或多个人的比例基本上是 50/50；在下载量超过 10 亿次的项目中，有 1 个项目是一个人维护，9 个项目由多个人维护。这就是开源社区的现状，开源项目通常是一个人维护的，即使是热门的项目也是如此。而且很多时候一个人会维护多个项目。一位俄罗斯人维护了一个流行库并不意味着什么，如果他们想要发动供应链攻击植入后门，俄罗斯人不会自称是俄罗斯人，他们会化名为 Jia Tan（XZ 后门作者化名）。

www.theregister.com/2025/08/27/popular_nodejs_utility_used_by/
opensourcesecurity.io/2025/08-oss-one-person/