Mae mater diogelwch wedi'i nodi yn ystorfa becynnau NPM sy'n caniatΓ‘u i berchennog y pecyn ychwanegu unrhyw ddefnyddiwr fel cynhaliwr heb gael caniatΓ’d y defnyddiwr hwnnw a heb gael gwybod am y camau a gymerwyd. Er mwyn gwaethygu'r broblem, ar Γ΄l i drydydd parti gael ei ychwanegu fel cynhaliwr, gallai awdur gwreiddiol y pecyn dynnu ei hun oddi ar y rhestr o gynhalwyr, gan adael y trydydd parti fel yr unig berson sy'n gyfrifol am y pecyn.
Gallai crewyr pecynnau maleisus fanteisio ar y broblem i ychwanegu datblygwyr adnabyddus neu gwmnΓ―au mawr at nifer y cynhalwyr er mwyn cynyddu ymddiriedaeth defnyddwyr a chreu'r rhith mai datblygwyr uchel eu parch sy'n gyfrifol am y pecyn, er eu bod mewn gwirionedd ddim i'w wneud ag ef ac nid ydynt hyd yn oed yn gwybod am ei fodolaeth. Er enghraifft, gallai ymosodwr bostio pecyn maleisus, newid y cynhaliwr, a gwahodd defnyddwyr i brofi datblygiad newydd gan gwmni mawr. Gellid defnyddio'r bregusrwydd hefyd i lychwino enw da rhai datblygwyr, gan eu cyflwyno fel cychwynwyr gweithredoedd amheus a gweithredoedd maleisus.
Hysbyswyd GitHub o'r mater ar Chwefror 10th a thrwsiodd y mater ar gyfer npmjs.com ar Ebrill 26ain trwy fynnu bod defnyddwyr yn cytuno i ymuno Γ’ phrosiect arall. Anogir datblygwyr nifer fawr o becynnau NPM i wirio eu rhestr o becynnau y maent yn berchen arnynt am rwymiadau sydd wedi'u hychwanegu heb eu caniatΓ’d.
Ffynhonnell: opennet.ru