Identificiran je sigurnosni problem u repozitoriju NPM paketa koji omogućuje vlasniku paketa da doda bilo kojeg korisnika kao održavatelja bez dobivanja pristanka od tog korisnika i bez da bude obaviješten o poduzetoj radnji. Da bi se problem pogoršao, nakon što je treća strana dodana kao održavatelj, originalni autor paketa mogao se ukloniti s popisa održavatelja, ostavljajući treću stranu kao jedinu osobu odgovornu za paket.
Problem bi mogli iskoristiti kreatori malicioznih paketa da u broj održavatelja dodaju poznate programere ili velike tvrtke kako bi povećali povjerenje korisnika i stvorili privid da su za paket odgovorni ugledni programeri, iako oni nemaju nikakve veze s tim i niti ne znaju za njegovo postojanje. Na primjer, napadač bi mogao objaviti zlonamjerni paket, promijeniti održavatelja i pozvati korisnike da testiraju novi razvoj velike tvrtke. Ranjivost bi se također mogla koristiti za narušavanje ugleda određenih programera, predstavljajući ih kao inicijatore sumnjivih radnji i zlonamjernih radnji.
GitHub je obaviješten o problemu 10. veljače i riješio je problem za npmjs.com 26. travnja zahtijevajući od korisnika da pristanu na pridruživanje drugom projektu. Programeri velikog broja NPM paketa potiču se da provjere svoj popis paketa za vezanja koja su dodana bez njihovog pristanka.
Izvor: opennet.ru