Öryggisvandamál hefur verið greint í NPM pakkageymslunni sem gerir pakkaeigandanum kleift að bæta hvaða notanda sem er sem viðhaldsaðila án þess að fá samþykki frá þeim notanda og án þess að vera upplýstur um aðgerðina sem gripið var til. Til að bæta vandamálið, þegar þriðji aðili var bætt við sem viðhaldsaðila, gæti upphaflegur höfundur pakkans fjarlægt sig af listanum yfir viðhaldsaðila, þannig að þriðji aðilinn væri sá eini ábyrgur fyrir pakkanum.
Vandamálið gæti verið nýtt af höfundum illgjarnra pakka til að bæta þekktum forriturum eða stórum fyrirtækjum við fjölda viðhaldsaðila til að auka traust notenda og skapa þá blekkingu að virtir þróunaraðilar beri ábyrgð á pakkanum, þó að þeir hafa ekkert með það að gera og veit ekki einu sinni um tilvist þess. Til dæmis gæti árásarmaður sent inn illgjarnan pakka, breytt umsjónarmanni og boðið notendum að prófa nýja þróun frá stóru fyrirtæki. Varnarleysið gæti einnig verið notað til að sverta orðstír ákveðinna þróunaraðila og sýna þá sem upphafsmenn vafasamra aðgerða og illgjarnra aðgerða.
GitHub var tilkynnt um málið þann 10. febrúar og lagaði málið fyrir npmjs.com þann 26. apríl með því að krefjast þess að notendur samþykktu að taka þátt í öðru verkefni. Hönnuðir fjölda NPM pakka eru hvattir til að skoða lista yfir pakka fyrir bindingar sem hefur verið bætt við án þeirra samþykkis.
Heimild: opennet.ru