NPM-i pakettide registris on tuvastatud turvaprobleem, mis võimaldab paketihalduril lisada iga kasutaja haldurite hulka ilma selle kasutaja nõusolekuta ja ilma toimingust teavitamata. Probleemi süvendab see, et pärast kolmanda osapoole halduri lisamist võis algne paketiautor end haldurite nimekirjast eemaldada, jättes kolmanda osapoole ainukeseks vastutavaks isikuks.
Probleem on jäetud kasutamiseks pahatahtlike pakettide loojaile, et lisada neid tuntud arendajate või suurettevõtete ridadesse, suurendades seeläbi kasutajate usaldust ning luues illusiooni, et austatud arendajad on paketi eest vastutavad, kuigi nad ei tea sellest isegi mitte midagi. Näiteks võiks ründaja kuvada pahavara paketti, vahetada saatjat ja kutsuda kasutajaid testima suurt ettevõtet. Haavatavust võidi kasutada ka teatud arendajate maine mustamiseks, esitades nad kahtlaste aktsioonide ja pahatahtlike tegevuste algatajatena.
Ettevõte GitHub teavitati probleemist 10. veebruaril ja lahendas selle npmjs.com'is 26. aprillil, kehtestades kohustusliku kinnituse kasutajate nõusolekust liituda teise projektiga. Paljude NPM pakettide arendajatele on soovitatud kontrollida, kas nende nimekirjas on sidusid, mis on lisatud ilma nende nõusolekuta.
Allikas: opennet.ru
