Un prublema di sicurezza hè statu identificatu in u repositoriu di u pacchettu NPM chì permette à u pruprietariu di u pacchettu aghjunghje qualsiasi utilizatore cum'è mantenitore senza avè u cunsensu da quellu utilizatore è senza esse infurmatu di l'azzione presa. Per cumpensà u prublema, una volta chì un terzu hè statu aghjuntu cum'è mantenitore, l'autore originale di u pacchettu puderia sguassate da a lista di mantene, lascendu u terzu cum'è l'unicu rispunsevuli di u pacchettu.
U prublema puderia esse apprufittatu da i creatori di pacchetti maliziusi per aghjunghje sviluppatori cunnisciuti o grandi cumpagnie à u numeru di mantenitori per aumentà a fiducia di l'utilizatori è creanu l'illusione chì i sviluppatori rispettati sò rispunsevuli di u pacchettu, ancu s'ellu in fattu. ùn anu nunda à fà cun ellu è ùn cunnosci mancu a so esistenza. Per esempiu, un attaccu puderia post un pacchettu maliziusu, cambià u mantene, è invita l'utilizatori à pruvà un novu sviluppu da una grande cumpagnia. A vulnerabilità puderia ancu esse aduprata per sbulicà a reputazione di certi sviluppatori, prisintendu cum'è l'iniziatori di l'azzioni dubbie è l'azzioni maliziusi.
GitHub hè statu notificatu di u prublema u 10 di ferraghju è hà risoltu u prublema per npmjs.com u 26 d'aprile esigendu chì l'utilizatori accunsentiscenu à unisce à un altru prughjettu. I sviluppatori di un gran numaru di pacchetti NPM sò incuraghjiti à verificà a so lista di pacchetti per i ligami chì sò stati aghjuntu senza u so accunsentu.
Source: opennet.ru