S'ha identificat un problema de seguretat al repositori de paquets NPM que permet al propietari del paquet afegir qualsevol usuari com a responsable sense obtenir el consentiment d'aquest usuari i sense ser informat de l'acció realitzada. Per agreujar el problema, un cop s'ha afegit un tercer com a responsable, l'autor original del paquet podria eliminar-se de la llista de mantenedors, deixant el tercer com a únic responsable del paquet.
El problema podria ser aprofitat pels creadors de paquets maliciosos per afegir desenvolupadors coneguts o grans empreses al nombre de mantenedors per tal d'augmentar la confiança dels usuaris i crear la il·lusió que els desenvolupadors respectats són els responsables del paquet, tot i que de fet ells no hi tenen res a veure i ni tan sols saben de la seva existència. Per exemple, un atacant podria publicar un paquet maliciós, canviar el responsable i convidar els usuaris a provar un nou desenvolupament d'una gran empresa. La vulnerabilitat també es podria utilitzar per entallar la reputació de determinats desenvolupadors, presentant-los com els iniciadors d'accions dubtoses i malicioses.
GitHub va rebre una notificació del problema el 10 de febrer i el va solucionar per a npmjs.com el 26 d'abril exigint als usuaris que confirmessin el consentiment per unir-se a un altre projecte. Es recomana als desenvolupadors d'un gran nombre de paquets NPM que comprovin la seva llista de paquets per trobar enllaços que s'han afegit sense el seu consentiment.
Font: opennet.ru