V úložišti balíčků NPM byl zjištěn problém se zabezpečením, který umožňuje vlastníkovi balíčku přidat libovolného uživatele jako správce, aniž by od tohoto uživatele získal souhlas a aniž by byl informován o provedené akci. Aby se problém ještě zhoršil, jakmile byla přidána třetí strana jako správce, původní autor balíčku se mohl odstranit ze seznamu správců a ponechat třetí stranu jako jedinou osobu odpovědnou za balíček.
Problém by mohli využít tvůrci škodlivých balíčků k přidání známých vývojářů nebo velkých společností do počtu správců, aby zvýšili důvěru uživatelů a vytvořili iluzi, že za balíček jsou zodpovědní respektovaní vývojáři, ačkoli ve skutečnosti nemají s ním nic společného a ani o jeho existenci neví. Útočník by například mohl zveřejnit škodlivý balíček, změnit správce a pozvat uživatele k testování nového vývoje od velké společnosti. Zranitelnost by mohla být také použita k pošpinění reputace některých vývojářů, kteří by je prezentovali jako iniciátory pochybných a škodlivých akcí.
GitHub byl na problém upozorněn 10. února a 26. dubna problém vyřešil pro npmjs.com tím, že od uživatelů vyžadoval souhlas s připojením k jinému projektu. Vývojářům velkého počtu balíčků NPM se doporučuje, aby zkontrolovali svůj seznam balíčků, zda neobsahují vazby, které byly přidány bez jejich souhlasu.
Zdroj: opennet.ru