In befeiligingsprobleem is identifisearre yn it NPM-pakketrepository wêrmei de pakketeigner elke brûker taheakje kin as ûnderhâlder sûnder tastimming te krijen fan dy brûker en sûnder ynformearre te wurden oer de nommen aksje. Om it probleem te kombinearjen, ienris in tredde partij waard tafoege as ûnderhâlder, koe de oarspronklike auteur fan it pakket himsels fan 'e list fan ûnderhâlders fuortsmite, wêrtroch't de tredde partij de ienige persoan dy't ferantwurdlik is foar it pakket.
It probleem koe brûkt wurde troch de makkers fan kweade pakketten om bekende ûntwikkelders as grutte bedriuwen ta te foegjen oan it oantal ûnderhâlders om it fertrouwen fan brûkers te fergrutsjen en de yllúzje te meitsjen dat respekteare ûntwikkelders ferantwurdlik binne foar it pakket, hoewol se feitlik hawwe der neat mei te krijen en wit net iens fan it bestean. Bygelyks, in oanfaller kin in kwea-aardich pakket pleatse, de ûnderhâlder feroarje en brûkers útnoegje om in nije ûntwikkeling fan in grut bedriuw te testen. De kwetsberens koe ek brûkt wurde om de reputaasje fan bepaalde ûntwikkelders te ferneatigjen, har te presintearjen as de inisjatyfnimmers fan dubieuze aksjes en kweade aksjes.
GitHub waard op 10 febrewaris op 'e hichte brocht fan it probleem en reparearre it probleem foar npmjs.com op april 26th troch brûkers te freegjen om yn te stimmen om mei te dwaan oan in oar projekt. Untwikkelders fan grutte oantallen NPM-pakketten wurde oanmoedige om har list mei pakketten te kontrolearjen op bindingen dy't sûnder har tastimming tafoege binne.
Boarne: opennet.ru