Εντοπίστηκε ένα ζήτημα ασφαλείας στο χώρο αποθήκευσης πακέτων NPM που επιτρέπει στον κάτοχο του πακέτου να προσθέσει οποιονδήποτε χρήστη ως συντηρητή χωρίς να λάβει τη συγκατάθεση του χρήστη και χωρίς να ενημερωθεί για τις ενέργειες που έγιναν. Για να επιδεινωθεί το πρόβλημα, μόλις προστεθεί ένα τρίτο μέρος ως συντηρητής, ο αρχικός συντάκτης του πακέτου μπορούσε να διαγραφεί από τη λίστα των συντηρητών, αφήνοντας το τρίτο μέρος ως το μόνο υπεύθυνο για το πακέτο.
Το πρόβλημα θα μπορούσε να εκμεταλλευτεί οι δημιουργοί κακόβουλων πακέτων για να προσθέσουν γνωστούς προγραμματιστές ή μεγάλες εταιρείες στον αριθμό των συντηρητών, προκειμένου να αυξηθεί η εμπιστοσύνη των χρηστών και να δημιουργηθεί η ψευδαίσθηση ότι οι σεβαστοί προγραμματιστές είναι υπεύθυνοι για το πακέτο, αν και στην πραγματικότητα αυτοί δεν έχουν καμία σχέση με αυτό και δεν γνωρίζουν καν για την ύπαρξή του. Για παράδειγμα, ένας εισβολέας θα μπορούσε να δημοσιεύσει ένα κακόβουλο πακέτο, να αλλάξει τον συντηρητή και να προσκαλέσει τους χρήστες να δοκιμάσουν μια νέα ανάπτυξη από μια μεγάλη εταιρεία. Η ευπάθεια θα μπορούσε επίσης να χρησιμοποιηθεί για να αμαυρώσει τη φήμη ορισμένων προγραμματιστών, παρουσιάζοντάς τους ως εμπνευστές αμφίβολων ενεργειών και κακόβουλων ενεργειών.
Το GitHub ειδοποιήθηκε για το πρόβλημα στις 10 Φεβρουαρίου και διόρθωσε το πρόβλημα για το npmjs.com στις 26 Απριλίου ζητώντας από τους χρήστες να συμφωνήσουν να συμμετάσχουν σε άλλο έργο. Οι προγραμματιστές μεγάλου αριθμού πακέτων NPM ενθαρρύνονται να ελέγξουν τη λίστα πακέτων τους για δεσμεύσεις που έχουν προστεθεί χωρίς τη συγκατάθεσή τους.
Πηγή: opennet.ru