Identificiran je sigurnosni problem u spremištu NPM paketa koji omogućava vlasniku paketa da doda bilo kojeg korisnika kao održavaoca bez pribavljanja pristanka od tog korisnika i bez obavještavanja o poduzetoj radnji. Da bi se problem pogoršao, kada je treća strana dodana kao održavatelj, originalni autor paketa mogao je ukloniti sebe sa liste održavatelja, ostavljajući treću stranu kao jedinu osobu odgovornu za paket.
Problem bi mogli iskoristiti kreatori zlonamjernih paketa da dodaju poznate programere ili velike kompanije u broj održavatelja kako bi povećali povjerenje korisnika i stvorili iluziju da su uvaženi programeri odgovorni za paket, iako u stvari oni nemaju nikakve veze s tim i ne znaju ni za njegovo postojanje. Na primjer, napadač može objaviti zlonamjerni paket, promijeniti održavaoca i pozvati korisnike da testiraju novi razvoj velike kompanije. Ranjivost bi se mogla iskoristiti i za narušavanje reputacije pojedinih programera, predstavljajući ih kao pokretače sumnjivih radnji i zlonamjernih radnji.
GitHub je obaviješten o problemu 10. februara i riješio je problem za npmjs.com 26. aprila zahtijevajući od korisnika da pristanu da se pridruže drugom projektu. Programeri velikog broja NPM paketa se ohrabruju da provjere svoju listu paketa za vezivanja koja su dodana bez njihovog pristanka.
izvor: opennet.ru