'n Sekuriteitskwessie is in die NPM-pakketbewaarplek geïdentifiseer wat die pakketeienaar toelaat om enige gebruiker as 'n onderhouer by te voeg sonder om toestemming van daardie gebruiker te verkry en sonder om ingelig te word oor die aksie wat geneem is. Om die probleem te vererger, sodra 'n derde party as 'n instandhouer bygevoeg is, kon die oorspronklike outeur van die pakket homself van die lys van onderhouers verwyder, wat die derde party as die enigste persoon wat vir die pakket verantwoordelik is, laat.
Die probleem kan deur die skeppers van kwaadwillige pakkette benut word om bekende ontwikkelaars of groot maatskappye by die aantal instandhouers te voeg om gebruikersvertroue te verhoog en die illusie te skep dat gerespekteerde ontwikkelaars verantwoordelik is vir die pakket, alhoewel hulle in werklikheid het niks daarmee te doen nie en weet nie eers van die bestaan daarvan nie. Byvoorbeeld, 'n aanvaller kan 'n kwaadwillige pakket plaas, die onderhouer verander en gebruikers nooi om 'n nuwe ontwikkeling van 'n groot maatskappy te toets. Die kwesbaarheid kan ook gebruik word om die reputasie van sekere ontwikkelaars te skend, deur hulle voor te stel as die inisieerders van twyfelagtige optrede en kwaadwillige optrede.
GitHub is op 10 Februarie van die probleem in kennis gestel en het die probleem vir npmjs.com op 26 April reggestel deur te vereis dat gebruikers instem om by 'n ander projek aan te sluit. Ontwikkelaars van groot getalle NPM-pakkette word aangemoedig om hul lys van pakkette na te gaan vir bindings wat sonder hul toestemming bygevoeg is.
Bron: opennet.ru