Nailhan ang isyu sa seguridad sa repositoryo sa pakete sa NPM nga nagtugot sa tag-iya sa pakete nga makadugang bisan kinsa nga tiggamit ingon usa ka tigmentinar nga wala makakuha pagtugot gikan sa kana nga tiggamit ug wala gipahibalo sa aksyon nga gihimo. Aron madugangan ang problema, sa higayon nga ang usa ka ikatulo nga partido gidugang ingon usa ka tigmentinar, ang orihinal nga tagsulat sa pakete mahimo nga magtangtang sa iyang kaugalingon gikan sa lista sa mga tigmentinar, gibiyaan ang ikatulo nga partido ingon ang bugtong tawo nga responsable sa pakete.
Ang problema mahimong mapahimuslan sa mga tiglalang sa mga malisyoso nga mga pakete aron idugang ang iladong mga developer o dagkong kompanya sa gidaghanon sa mga tigmentinar aron madugangan ang pagsalig sa user ug maghimo sa ilusyon nga ang respetado nga mga developers maoy responsable sa package, bisan pa sa pagkatinuod sila walay labot niini ug wala gani mahibalo bahin sa paglungtad niini. Pananglitan, ang usa ka tig-atake mahimong mag-post og usa ka malisyoso nga pakete, mag-ilis sa tigmentinar, ug magdapit sa mga tiggamit sa pagsulay sa usa ka bag-ong kalamboan gikan sa usa ka dako nga kompanya. Ang pagkahuyang mahimo usab nga gamiton aron madaot ang dungog sa pipila nga mga developer, nga nagpresentar kanila ingon nga mga nagpasiugda sa mga kadudahang aksyon ug malisyoso nga mga aksyon.
Gipahibalo ang GitHub sa isyu kaniadtong Pebrero 10 ug giayo ang isyu para sa npmjs.com kaniadtong Abril 26 pinaagi sa paghangyo sa mga tiggamit nga mouyon nga moapil sa laing proyekto. Ang mga nag-develop sa daghang gidaghanon sa mga pakete sa NPM giawhag sa pagsusi sa ilang lista sa mga pakete alang sa mga pagbugkos nga gidugang nga wala ang ilang pagtugot.
Source: opennet.ru