NPM-pakettivarastossa on tunnistettu tietoturvaongelma, jonka ansiosta paketin omistaja voi lisätä minkä tahansa käyttäjän ylläpitäjäksi hankkimatta kyseiseltä käyttäjältä suostumusta ja ilmoittamatta suoritetuista toimista. Ongelman pahentamiseksi, kun kolmas osapuoli lisättiin ylläpitäjäksi, paketin alkuperäinen kirjoittaja saattoi poistaa itsensä ylläpitäjien luettelosta, jolloin kolmas osapuoli jäi ainoaksi paketista vastaavaksi henkilöksi.
Haitallisten pakettien tekijät voisivat hyödyntää ongelmaa lisätäkseen ylläpitäjien joukkoon tunnettuja kehittäjiä tai suuria yrityksiä lisätäkseen käyttäjien luottamusta ja luodakseen illuusion, että arvostetut kehittäjät ovat vastuussa paketista, vaikka itse asiassa he ei ole mitään tekemistä sen kanssa eivätkä edes tiedä sen olemassaolosta. Hyökkääjä voi esimerkiksi lähettää haitallisen paketin, vaihtaa ylläpitäjää ja kutsua käyttäjiä testaamaan suuren yrityksen uutta kehitystä. Haavoittuvuutta voidaan käyttää myös tiettyjen kehittäjien maineen turmelemiseen esittämällä heidät kyseenalaisten toimien ja haitallisten toimien alullepanijana.
GitHubille ilmoitettiin ongelmasta 10. helmikuuta ja se korjasi npmjs.comin ongelman 26. huhtikuuta vaatimalla käyttäjiä suostumaan liittymään toiseen projektiin. Suurten NPM-pakettien kehittäjiä kehotetaan tarkistamaan pakettiluettelostaan ilman heidän lupaansa lisättyjen sidosten varalta.
Lähde: opennet.ru