Nel repository dei pacchetti NPM è stata rilevata una problematica di sicurezza che consente al proprietario del pacchetto di aggiungere qualsiasi utente come collaboratore, senza ottenere il consenso di quest'ultimo e senza informarlo dell'azione compiuta. La situazione è aggravata dal fatto che, dopo aver aggiunto un utente esterno come collaboratore, l'autore originale del pacchetto potrebbe eliminare se stesso dalla lista, lasciando l'utente esterno come l'unica persona responsabile del pacchetto.
I creatori di pacchetti dannosi potrebbero aver sfruttato il problema per insinuarsi tra i noti sviluppatori o grandi aziende, nel tentativo di aumentare la fiducia degli utenti e creare l'illusione che sviluppatori rispettabili siano responsabili del pacchetto, mentre in realtà non hanno alcun legame e nemmeno conoscono la sua esistenza. Ad esempio, un attaccante potrebbe aver pubblicato un pacchetto dannoso, cambiato il manutentore e invitato gli utenti a testare una nuova creazione di un'importante azienda. La vulnerabilità potrebbe anche essere stata utilizzata per danneggiare la reputazione di determinati sviluppatori, presentandoli come promotori di azioni discutibili e attività dannose.
La società GitHub è stata informata del problema il 10 febbraio e lo ha risolto su npmjs.com il 26 aprile con l'introduzione di una conferma obbligatoria da parte degli utenti per unirsi a un altro progetto. È stato raccomandato agli sviluppatori di un gran numero di pacchetti NPM di controllare se ci siano legami tra i loro pacchetti aggiunti senza il loro consenso.
Fonte: opennet.ru
