Se ha identificado un problema de seguridad en el repositorio de paquetes NPM que permite al propietario del paquete agregar a cualquier usuario como mantenedor sin obtener el consentimiento de ese usuario y sin ser informado de la acción realizada. Para agravar el problema, una vez que se agregaba un tercero como mantenedor, el autor original del paquete podía eliminarse de la lista de mantenedores, dejando al tercero como la única persona responsable del paquete.
Los creadores de paquetes maliciosos podrían aprovechar el problema para agregar desarrolladores conocidos o grandes empresas al número de mantenedores con el fin de aumentar la confianza del usuario y crear la ilusión de que desarrolladores respetados son responsables del paquete, aunque en realidad son ellos. No tienen nada que ver con él y ni siquiera saben de su existencia. Por ejemplo, un atacante podría publicar un paquete malicioso, cambiar el responsable del mantenimiento e invitar a los usuarios a probar un nuevo desarrollo de una gran empresa. La vulnerabilidad también podría utilizarse para empañar la reputación de determinados desarrolladores, presentándolos como iniciadores de acciones dudosas y maliciosas.
GitHub fue notificado del problema el 10 de febrero y solucionó el problema para npmjs.com el 26 de abril al solicitar a los usuarios que aceptaran unirse a otro proyecto. Se recomienda a los desarrolladores de una gran cantidad de paquetes NPM que revisen su lista de paquetes para ver si se han agregado enlaces sin su consentimiento.
Fuente: opennet.ru