የጥበቃ ባለቤቱ ማንኛውንም ተጠቃሚ ከተጠቃሚው ፈቃድ ሳያገኝ እና የተወሰደውን እርምጃ ሳይነገራቸው እንደ ተጠባባቂ እንዲጨምር የሚያስችል የደህንነት ጉዳይ በNPM ጥቅል ማከማቻ ውስጥ ተለይቷል። ለችግሩ መባባስ አንድ ጊዜ ሶስተኛ አካል ተጠባባቂ ሆኖ ከተጨመረ የጥቅሉ ዋና ጸሐፊ እራሱን ከጠባቂዎች ዝርዝር ውስጥ በማውጣት የሶስተኛ ወገን የጥቅሉን ብቸኛ ሰው አድርጎ ይተወዋል።
ችግሩ የተጠቃሚዎችን እምነት ለመጨመር እና የተከበሩ ገንቢዎች ለጥቅሉ ተጠያቂ ናቸው የሚል ቅዠት ለመፍጠር በተንኮል-አዘል ፓኬጆች ፈጣሪዎች የታወቁ ገንቢዎችን ወይም ትላልቅ ኩባንያዎችን ወደ ተጠባባቂዎች ቁጥር ለመጨመር ሊጠቀሙበት ይችላሉ ፣ ምንም እንኳን በእውነቱ እነሱ ከእሱ ጋር ምንም ግንኙነት የላቸውም እና ስለ ሕልውናው እንኳን አያውቁም. ለምሳሌ፣ አንድ አጥቂ ተንኮል አዘል ፓኬጅ መለጠፍ፣ ተቆጣጣሪውን መቀየር እና ተጠቃሚዎችን ከአንድ ትልቅ ኩባንያ አዲስ እድገትን እንዲሞክሩ ሊጋብዝ ይችላል። ተጋላጭነቱ የአንዳንድ ገንቢዎችን ስም ለማጉደፍ፣ አጠራጣሪ ድርጊቶችን እና ተንኮል አዘል ድርጊቶችን አስጀማሪዎች አድርጎ በማቅረብም ጥቅም ላይ ሊውል ይችላል።
GitHub ጉዳዩን በፌብሩዋሪ 10 ተነግሮት ለ npmjs.com ኤፕሪል 26 ኛ ላይ ተጠቃሚዎች ሌላ ፕሮጀክት ለመቀላቀል እንዲስማሙ በመጠየቅ ጉዳዩን አስተካክሏል። ብዙ ቁጥር ያላቸው የNPM ፓኬጆች ገንቢዎች ያለፈቃዳቸው የታከሉ ማሰሪያዎችን ዝርዝር እንዲመለከቱ ይበረታታሉ።
ምንጭ: opennet.ru