È stato identificato un problema di sicurezza nel repository dei pacchetti NPM che consente al proprietario del pacchetto di aggiungere qualsiasi utente come manutentore senza ottenere il consenso di tale utente e senza essere informato dell'azione intrapresa. Per aggravare il problema, una volta aggiunta una terza parte come manutentore, l'autore originale del pacchetto poteva rimuoversi dall'elenco dei manutentori, lasciando la terza parte come unica persona responsabile del pacchetto.
I creatori di pacchetti dannosi potrebbero approfittare del problema per aggiungere sviluppatori noti o grandi aziende al numero dei manutentori in modo da aumentare la fiducia degli utenti e creare l'illusione che sviluppatori rispettati siano responsabili del pacchetto, anche se in realtà sono loro. non c'entrano nulla e non sanno nemmeno della sua esistenza. Ad esempio, un utente malintenzionato potrebbe pubblicare un pacchetto dannoso, cambiare il manutentore e invitare gli utenti a testare un nuovo sviluppo di una grande azienda. La vulnerabilità potrebbe essere utilizzata anche per offuscare la reputazione di alcuni sviluppatori, presentandoli come promotori di azioni dubbie e azioni dannose.
GitHub è stato informato del problema il 10 febbraio e ha risolto il problema per npmjs.com il 26 aprile richiedendo agli utenti di accettare di partecipare a un altro progetto. Gli sviluppatori di un gran numero di pacchetti NPM sono incoraggiati a controllare il proprio elenco di pacchetti per verificare se sono stati aggiunti collegamenti senza il loro consenso.
Fonte: opennet.ru