Беше идентифициран проблем със сигурността в хранилището на пакети NPM, който позволява на собственика на пакета да добави всеки потребител като поддържащ, без да получи съгласие от този потребител и без да бъде информиран за предприетите действия. За да се усложни проблемът, след като трета страна бъде добавена като поддържащ, оригиналният автор на пакета може да се премахне от списъка на поддържащите, оставяйки третата страна като единственото лице, отговорно за пакета.
Проблемът може да бъде използван от създателите на злонамерени пакети, за да добавят добре известни разработчици или големи компании към броя на поддържащите, за да увеличат доверието на потребителите и да създадат илюзията, че уважавани разработчици са отговорни за пакета, въпреки че всъщност те нямат нищо общо с него и дори не знаят за съществуването му. Например, атакуващ може да публикува злонамерен пакет, да смени поддържащия и да покани потребителите да тестват нова разработка от голяма компания. Уязвимостта може да се използва и за опетняване на репутацията на определени разработчици, представяйки ги като инициатори на съмнителни действия и злонамерени действия.
GitHub беше уведомен за проблема на 10 февруари и го поправи за npmjs.com на 26 април, като изискваше потребителите да потвърдят съгласието си за присъединяване към друг проект. Разработчиците на голям брой NPM пакети се насърчават да проверяват своя списък с пакети за свързвания, които са добавени без тяхното съгласие.
Източник: opennet.ru