NPM パッケージ リポジトリでセキュリティ上の問題が確認されました。この問題により、パッケージ所有者は、ユーザーから同意を得ることなく、実行されたアクションについて通知されることなく、任意のユーザーをメンテナーとして追加できます。 問題をさらに悪化させるのは、サードパーティがメンテナとして追加されると、パッケージの元の作成者がメンテナのリストから自分自身を削除し、そのサードパーティがパッケージの唯一の責任者になる可能性があることです。
悪意のあるパッケージの作成者は、この問題を利用して、ユーザーの信頼を高め、実際には尊敬される開発者がパッケージに責任を負っているかのような錯覚を作り出すために、有名な開発者や大企業をメンテナの数に追加する可能性があります。全く関係がないし、存在すら知りません。 たとえば、攻撃者は悪意のあるパッケージを投稿し、メンテナを変更し、大企業の新しい開発をテストするようにユーザーを招待する可能性があります。 この脆弱性は、特定の開発者の評判を傷つけ、疑わしい行為や悪意のある行為の開始者として扱われるために利用される可能性もあります。
GitHub は 10 月 26 日にこの問題を通知され、ユーザーが別のプロジェクトに参加することに同意することを要求することで、XNUMX 月 XNUMX 日に npmjs.com の問題を修正しました。 多数の NPM パッケージの開発者は、同意なしに追加されたバインディングがないかパッケージのリストを確認することをお勧めします。
出所: オープンネット.ru