NPM-n akats bat identifikatu da, biltegi pribatuetan paketeen existentzia zehazteko aukera ematen duena. Arazoa biltegirako sarbidea ez duen hirugarren erabiltzaile batek lehendik dagoen eta existitzen ez den pakete bat eskatzen duenean erantzuteko denbora ezberdinek eragiten dute. Biltegi pribatuetako paketeetarako sarbiderik ez badago, registry.npmjs.org zerbitzariak errore bat itzultzen du "404" kodearekin, baina eskatutako izena duen pakete bat existitzen bada, errorea atzerapen nabarmenarekin emango da. Erasotzaileak eginbide hau erabil dezake pakete baten presentzia zehazteko, paketeen izenak hiztegietatik bilatuz.
Biltegi pribatuetan pakete-izenak zehaztea beharrezkoa izan daiteke menpekotasun-nahasketa-eraso bat egiteko, mendekotasun-izenak biltegi publikoetan eta barne-biltegietan elkartzea manipulatzen duena. Gordetegi korporatiboetan NPM barneko paketeak zeintzuk diren jakinda, erasotzaileak izen berdinak eta bertsio-zenbaki berriagoak dituzten paketeak jar ditzake NPM biltegi publiko batean. Eraikitzean, barne liburutegiak ez badira beren biltegira esplizituki lotzen ezarpenetan, npm paketeen kudeatzaileak biltegi publikoa lehentasunezkotzat hartuko du eta erasotzaileak prestatutako paketea deskargatuko du.
GitHub-i martxoan jakinarazi zioten arazoaren berri, baina erasoaren aurkako babesa gehitzeari uko egin zion, arkitektura-mugak aipatuz. Biltegi pribatuak erabiltzen dituzten enpresei gomendatzen zaie gordailu publikoan aldian-aldian gainjartzen diren izenak egiaztatzea edo haien izenean biltegi pribatuetan paketeen izenak bikoizten dituzten izenekin zirriborroak sortzea, erasotzaileek beren paketeak gainjarritako izenekin jarri ezin ditzaten.
Iturria: opennet.ru