Sekurecproblemo estis identigita en la pakaĵdeponejo de NPM kiu permesas al la pakposedanto aldoni ajnan uzanton kiel prizorganton sen akiri konsenton de tiu uzanto kaj sen esti informita pri la ago farita. Por kunmeti la problemon, post kiam tria partio estis aldonita kiel prizorganto, la origina aŭtoro de la pakaĵo povis forigi sin el la listo de prizorgantoj, lasante la trian partion kiel la nura persono respondeca por la pakaĵo.
La problemo povus esti profitata de la kreintoj de malicaj pakaĵoj por aldoni konatajn programistojn aŭ grandajn kompaniojn al la nombro da prizorgantoj por pliigi la fidon de uzantoj kaj krei la iluzion, ke respektataj programistoj respondecas pri la pakaĵo, kvankam fakte ili havas nenion komunan kun ĝi kaj eĉ ne scias pri ĝia ekzisto. Ekzemple, atakanto povus afiŝi malican pakaĵon, ŝanĝi la prizorganton kaj inviti uzantojn testi novan evoluon de granda kompanio. La vundebleco ankaŭ povus esti uzata por makuli la reputacion de certaj programistoj, prezentante ilin kiel la iniciatintojn de dubindaj agoj kaj malicaj agoj.
GitHub estis sciigita pri la problemo la 10-an de februaro kaj riparis la problemon por npmjs.com la 26-an de aprilo postulante uzantojn konsenti aliĝi al alia projekto. Programistoj de grandaj nombroj da NPM-pakaĵoj estas instigitaj kontroli sian liston de pakaĵoj por ligoj kiuj estis aldonitaj sen ilia konsento.
fonto: opennet.ru