NPM paket anbarında təhlükəsizlik problemi müəyyən edilmişdir ki, bu da paket sahibinə həmin istifadəçinin razılığını almadan və görülən tədbirlər barədə məlumatlandırılmadan istənilən istifadəçini baxıcı kimi əlavə etməyə imkan verir. Problemi daha da çətinləşdirmək üçün, üçüncü tərəf baxıcı kimi əlavə edildikdən sonra, paketin orijinal müəllifi özünü baxıcılar siyahısından çıxara bilər və üçüncü tərəfi paketə cavabdeh olan yeganə şəxs kimi tərk edə bilər.
Problemdən zərərli paketlərin yaradıcıları istifadə edərək, istifadəçilərin inamını artırmaq və hörmətli tərtibatçıların paketə görə məsuliyyət daşıdığı illüziyasını yaratmaq üçün qoruyucuların sayına tanınmış tərtibatçıları və ya böyük şirkətləri əlavə edə bilər, baxmayaraq ki, əslində onlar onunla heç bir əlaqəsi yoxdur və varlığından belə xəbəri yoxdur. Məsələn, təcavüzkar zərərli paketi yerləşdirə, baxıcını dəyişə və istifadəçiləri böyük bir şirkətin yeni inkişafını sınamağa dəvət edə bilər. Zəiflikdən bəzi tərtibatçıların reputasiyasını ləkələmək, onları şübhəli hərəkətlərin və zərərli hərəkətlərin təşəbbüskarı kimi təqdim etmək üçün də istifadə oluna bilər.
GitHub problem barədə fevralın 10-da xəbərdar edildi və npmjs.com üçün problemi aprelin 26-da istifadəçilərdən başqa bir layihəyə qoşulmağa razılıq vermələrini tələb edərək düzəltdi. Çoxlu sayda NPM paketlərinin tərtibatçılarına onların razılığı olmadan əlavə edilmiş bağlamalar üçün paketlər siyahısını yoxlamaq tövsiyə olunur.
Mənbə: opennet.ru