У рэпазітары пакетаў NPM выяўлена праблема з бяспекай, якая дазваляе ўладальніку пакета дадаць у лік суправаджаючых любога карыстача, без атрымання ад гэтага карыстача згоды і без інфармавання аб здзейсненым дзеянні. Праблема пагаршаецца тым, што пасля дадання іншага карыстача ў лік суправаджаючых, першапачатковы аўтар пакета мог выдаліць сябе з спісу суправаджаючых і іншы карыстач заставаўся адзінай асобай, якая адказвае за пакет.
Праблемай маглі скарыстацца стваральнікі шкоднасных пакетаў для дадання ў лік суправаджаюць вядомых распрацоўшчыкаў або буйных кампаній з мэтай павышэння даверу карыстальнікаў і стварэння ілюзіі, што заслужаныя распрацоўшчыкі адказваюць за пакет, хоць на справе не маюць да яго ніякага дачынення і нават не ведаюць аб яго існаванні. Напрыклад, атакавалы мог размясціць шкоднасны пакет, змяніць суправаджаючага і запрасіць карыстальнікаў пратэставаць новую распрацоўку буйной кампаніі. Уразлівасць таксама магла прымяняцца для ачарнення рэпутацыі пэўных распрацоўшчыкаў, прадстаўляючы іх як ініцыятараў сумнеўных акцый і шкоднасных дзеянняў.
Кампанія GitHub была апавешчана аб праблеме 10 лютага і ўхіліла яе ў npmjs.com 26 красавіка праз увядзенне абавязковага пацверджання ў карыстальнікаў згоды на далучэнне да іншага праекту. Распрацоўнікам вялікай колькасці пакетаў NPM рэкамендавана праверыць, ці няма ў спісе прыналежных ім пакетаў прывязак, дададзеных без іх згоды.
Крыніца: opennet.ru