Un problème de sécurité a été identifié dans le référentiel du package NPM qui permet au propriétaire du package d'ajouter n'importe quel utilisateur en tant que responsable sans obtenir le consentement de cet utilisateur et sans être informé de l'action entreprise. Pour aggraver le problème, une fois qu'un tiers était ajouté en tant que responsable, l'auteur original du paquet pouvait se retirer de la liste des responsables, laissant le tiers comme seul responsable du paquet.
Les créateurs de paquets malveillants pourraient exploiter ce problème pour ajouter des développeurs connus ou de grandes entreprises au nombre de responsables afin d'accroître la confiance des utilisateurs et de créer l'illusion que des développeurs respectés sont responsables du paquet, alors qu'en réalité ils n’y sont pour rien et ne connaissent même pas son existence. Par exemple, un attaquant pourrait publier un package malveillant, changer de responsable et inviter les utilisateurs à tester un nouveau développement d'une grande entreprise. La vulnérabilité pourrait également être utilisée pour ternir la réputation de certains développeurs, en les présentant comme les initiateurs d'actions douteuses et d'actions malveillantes.
GitHub a été informé du problème le 10 février et a résolu le problème pour npmjs.com le 26 avril en demandant aux utilisateurs d'accepter de rejoindre un autre projet. Les développeurs d'un grand nombre de packages NPM sont encouragés à vérifier dans leur liste de packages les liaisons qui ont été ajoutées sans leur consentement.
Source: opennet.ru