Et sikkerhedsproblem er blevet identificeret i NPM-pakkelageret, der gør det muligt for pakkeejeren at tilføje enhver bruger som vedligeholder uden at indhente samtykke fra den pågældende bruger og uden at blive informeret om den foregåede handling. For at forværre problemet, så snart en tredjepart blev tilføjet som vedligeholder, kunne den oprindelige forfatter af pakken fjerne sig selv fra listen over vedligeholdere og efterlade tredjeparten som den eneste person, der er ansvarlig for pakken.
Problemet kunne udnyttes af skaberne af ondsindede pakker til at tilføje velkendte udviklere eller store virksomheder til antallet af vedligeholdere for at øge brugertilliden og skabe den illusion, at respekterede udviklere er ansvarlige for pakken, selvom de faktisk har intet med det at gøre og ved ikke engang om dets eksistens. For eksempel kan en angriber sende en ondsindet pakke, ændre vedligeholderen og invitere brugere til at teste en ny udvikling fra en stor virksomhed. Sårbarheden kan også bruges til at plette visse udvikleres omdømme og præsentere dem som initiativtagere til tvivlsomme handlinger og ondsindede handlinger.
GitHub blev underrettet om problemet den 10. februar og løste problemet for npmjs.com den 26. april ved at kræve, at brugerne accepterede at deltage i et andet projekt. Udviklere af et stort antal NPM-pakker opfordres til at tjekke deres liste over pakker for bindinger, der er blevet tilføjet uden deres samtykke.
Kilde: opennet.ru