یک مشکل امنیتی در مخزن بسته NPM شناسایی شده است که به صاحب بسته اجازه می دهد بدون کسب رضایت از آن کاربر و بدون اطلاع از اقدام انجام شده، هر کاربری را به عنوان نگهدارنده اضافه کند. برای تشدید مشکل، هنگامی که شخص ثالثی به عنوان نگهدار اضافه شد، نویسنده اصلی بسته میتوانست خود را از لیست نگهبانان حذف کند و شخص ثالث را تنها مسئول بسته باقی بگذارد.
این مشکل می تواند توسط سازندگان بسته های مخرب برای اضافه کردن توسعه دهندگان معروف یا شرکت های بزرگ به تعداد نگهدارنده ها به منظور افزایش اعتماد کاربران و ایجاد این توهم که توسعه دهندگان محترم مسئول بسته هستند، استفاده کنند، اگرچه در واقع آنها هستند. هیچ ربطی به آن ندارند و حتی از وجود آن اطلاعی ندارند. به عنوان مثال، یک مهاجم می تواند یک بسته مخرب پست کند، نگهدارنده را تغییر دهد و از کاربران دعوت کند تا توسعه جدیدی را از یک شرکت بزرگ آزمایش کنند. این آسیبپذیری همچنین میتواند برای خدشهدار کردن شهرت توسعهدهندگان خاص مورد استفاده قرار گیرد و آنها را به عنوان آغازگر اقدامات مشکوک و اقدامات مخرب معرفی کند.
GitHub از این مشکل در 10 فوریه مطلع شد و در 26 آوریل با درخواست از کاربران برای پیوستن به پروژه دیگری، مشکل را برای npmjs.com حل کرد. توسعه دهندگان تعداد زیادی بسته NPM تشویق می شوند تا لیست بسته های خود را برای اتصالات که بدون رضایت آنها اضافه شده اند بررسی کنند.
منبع: opennet.ru