Identificouse un problema de seguridade no repositorio de paquetes NPM que permite ao propietario do paquete engadir calquera usuario como mantedor sen obter o consentimento dese usuario e sen ser informado da acción realizada. Para agravar o problema, unha vez que un terceiro foi engadido como mantedor, o autor orixinal do paquete podería eliminarse da lista de mantedores, deixando o terceiro como a única persoa responsable do paquete.
O problema podería ser aproveitado polos creadores de paquetes maliciosos para engadir desenvolvedores coñecidos ou grandes empresas ao número de mantedores co fin de aumentar a confianza dos usuarios e crear a ilusión de que desenvolvedores respectados son os responsables do paquete, aínda que en realidade non teñen nada que ver con el e nin sequera saben da súa existencia. Por exemplo, un atacante podería publicar un paquete malicioso, cambiar o mantedor e invitar aos usuarios a probar un novo desenvolvemento dunha gran empresa. A vulnerabilidade tamén podería usarse para manchar a reputación de certos desenvolvedores, presentándoos como os iniciadores de accións dubidosas e maliciosas.
GitHub foi notificado do problema o 10 de febreiro e solucionou o problema para npmjs.com o 26 de abril esixindo aos usuarios que aceptasen unirse a outro proxecto. Recoméndase aos desenvolvedores de gran número de paquetes NPM que comproben a súa lista de paquetes para ver as ligazóns que se engadiron sen o seu consentimento.
Fonte: opennet.ru