A rendszer egy biztonsági problémát azonosított az NPM csomagtárában, amely lehetővé teszi a csomag tulajdonosa számára, hogy bármely felhasználót felvegyen karbantartóként anélkül, hogy az adott felhasználótól beleegyezett volna, és nem értesülne a megtett lépésekről. A probléma súlyosbítása érdekében, ha egy harmadik felet karbantartóként hozzáadtak, a csomag eredeti szerzője eltávolíthatja magát a karbantartók listájáról, így a harmadik fél lesz az egyetlen felelős a csomagért.
A problémát kihasználva a rosszindulatú csomagok készítői ismert fejlesztőket vagy nagyvállalatokat is felvehetnek a karbantartók körébe, ezzel növelve a felhasználók bizalmát, és azt az illúziót keltve, hogy a tisztelt fejlesztők felelősek a csomagért, bár valójában ők semmi közük hozzá, és nem is tudnak a létezéséről. Például egy támadó közzétehet egy rosszindulatú csomagot, megváltoztathatja a karbantartót, és meghívhatja a felhasználókat egy nagyvállalat új fejlesztésének tesztelésére. A sérülékenység felhasználható bizonyos fejlesztők hírnevének rontására is, kétes és rosszindulatú akciók kezdeményezőiként bemutatva őket.
A GitHub február 10-én kapott értesítést a problémáról, és április 26-án kijavította a problémát az npmjs.com számára, és megkövetelte a felhasználóktól, hogy csatlakozzanak egy másik projekthez. A nagyszámú NPM-csomag fejlesztőit arra bátorítjuk, hogy ellenőrizze a csomagok listáját, hogy nincsenek-e olyan összerendelések, amelyeket beleegyezésük nélkül adtak hozzá.
Forrás: opennet.ru