تم التعرف على مشكلة أمنية في مستودع حزم NPM والتي تسمح لمالك الحزمة بإضافة أي مستخدم كمشرف دون الحصول على موافقة من ذلك المستخدم ودون إبلاغه بالإجراء المتخذ. لتفاقم المشكلة، بمجرد إضافة طرف ثالث كمشرف، يمكن للمؤلف الأصلي للحزمة إزالة نفسه من قائمة المشرفين، وترك الطرف الثالث باعتباره الشخص الوحيد المسؤول عن الحزمة.
يمكن استغلال المشكلة من قبل منشئي الحزم الضارة لإضافة مطورين معروفين أو شركات كبيرة إلى عدد المشرفين من أجل زيادة ثقة المستخدم وخلق الوهم بأن المطورين المحترمين هم المسؤولون عن الحزمة، على الرغم من أنهم في الواقع لا علاقة لهم به ولا يعرفون حتى عن وجوده. على سبيل المثال، يمكن للمهاجم نشر حزمة ضارة وتغيير المشرف ودعوة المستخدمين لاختبار تطوير جديد من شركة كبيرة. ويمكن أيضًا استخدام الثغرة الأمنية لتشويه سمعة بعض المطورين، وتقديمهم على أنهم المبادرون بأعمال مشبوهة وإجراءات ضارة.
تم إخطار GitHub بالمشكلة في 10 فبراير وتم إصلاح مشكلة npmjs.com في 26 أبريل من خلال مطالبة المستخدمين بالموافقة على الانضمام إلى مشروع آخر. يتم تشجيع مطوري الأعداد الكبيرة من حزم NPM على التحقق من قائمة الحزم الخاصة بهم بحثًا عن الارتباطات التي تمت إضافتها دون موافقتهم.
المصدر: opennet.ru