Masalah keamanan telah diidentifikasi dalam repositori paket NPM yang memungkinkan pemilik paket untuk menambahkan pengguna mana pun sebagai pengelola tanpa mendapatkan persetujuan dari pengguna tersebut dan tanpa diberitahu tentang tindakan yang diambil. Yang lebih parah lagi, setelah pihak ketiga ditambahkan sebagai pengelola, penulis asli paket dapat menghapus dirinya dari daftar pengelola, sehingga pihak ketiga tersebut menjadi satu-satunya orang yang bertanggung jawab atas paket tersebut.
Masalah ini dapat dimanfaatkan oleh pembuat paket jahat untuk menambahkan pengembang terkenal atau perusahaan besar ke dalam jumlah pengelola untuk meningkatkan kepercayaan pengguna dan menciptakan ilusi bahwa pengembang yang dihormati bertanggung jawab atas paket tersebut, meskipun sebenarnya mereka tidak ada hubungannya dengan itu dan bahkan tidak tahu tentang keberadaannya. Misalnya, penyerang dapat memposting paket berbahaya, mengubah pengelola, dan mengundang pengguna untuk menguji pengembangan baru dari perusahaan besar. Kerentanan juga dapat digunakan untuk merusak reputasi pengembang tertentu, menampilkan mereka sebagai pemrakarsa tindakan yang meragukan dan tindakan jahat.
GitHub telah diberitahu tentang masalah ini pada tanggal 10 Februari dan memperbaiki masalah tersebut untuk npmjs.com pada tanggal 26 April dengan mengharuskan pengguna setuju untuk bergabung dengan proyek lain. Pengembang paket NPM dalam jumlah besar didorong untuk memeriksa daftar paket mereka untuk mengetahui pengikatan yang telah ditambahkan tanpa persetujuan mereka.
Sumber: opennet.ru