Masalah keamanan wis diidentifikasi ing gudang paket NPM sing ngidini pemilik paket nambah pangguna minangka pangurus tanpa entuk idin saka pangguna kasebut lan tanpa dilaporake babagan tumindak sing ditindakake. Kanggo nambah masalah, yen pihak katelu ditambahake minangka pangopènan, penulis asli paket kasebut bisa nyopot saka dhaptar pangopènan, ninggalake pihak katelu minangka siji-sijine wong sing tanggung jawab kanggo paket kasebut.
Masalah kasebut bisa dimanfaatake dening panyipta paket ala kanggo nambah pangembang utawa perusahaan gedhe sing kondhang menyang jumlah pangurus supaya bisa nambah kapercayan pangguna lan nggawe ilusi manawa pangembang sing dihormati tanggung jawab kanggo paket kasebut, sanajan nyatane dheweke ora ana apa-apa lan ora ngerti babagan orane. Contone, panyerang bisa ngirim paket ala, ngganti pangurus, lan ngajak pangguna nyoba pangembangan anyar saka perusahaan gedhe. Kerentanan kasebut uga bisa digunakake kanggo ngrusak reputasi pangembang tartamtu, nuduhake dheweke minangka pamula tumindak sing ora sopan lan tumindak ala.
GitHub diwenehi kabar babagan masalah kasebut tanggal 10 Februari lan ndandani masalah kasebut kanggo npmjs.com tanggal 26 April kanthi mbutuhake pangguna supaya setuju gabung karo proyek liyane. Pangembang saka akeh paket NPM dianjurake kanggo mriksa dhaptar paket kanggo ikatan sing wis ditambahake tanpa idin.
Source: opennet.ru