NPM бумасының репозиторийінде қауіпсіздік мәселесі анықталды, ол пакет иесіне кез келген пайдаланушыны сол пайдаланушының келісімінсіз және қабылданған әрекет туралы хабардар болмай-ақ қолдаушы ретінде қосуға мүмкіндік береді. Мәселені қиындату үшін, үшінші тарап техникалық қызмет көрсетуші ретінде қосылғаннан кейін, пакеттің түпнұсқа авторы пакетке жауапты жалғыз тұлға ретінде үшінші тарапты қалдырып, өзін қолдаушылар тізімінен алып тастай алады.
Мәселені зиянды пакеттерді жасаушылар пайдаланушы сенімін арттыру және құрметті әзірлеушілер пакетке жауапты деген елес тудыру үшін қызмет көрсетушілер санына белгілі әзірлеушілерді немесе ірі компанияларды қосу үшін пайдалана алады, бірақ шын мәнінде олар пакетке жауапты. оған еш қатысы жоқ және оның бар екенін де білмейді. Мысалы, шабуылдаушы зиянды буманы жариялауы, қызмет көрсетушіні өзгертуі және пайдаланушыларды ірі компанияның жаңа әзірлемелерін тексеруге шақыруы мүмкін. Сондай-ақ осалдық кейбір әзірлеушілердің беделін түсіріп, оларды күмәнді әрекеттер мен зиянды әрекеттердің бастамашысы ретінде көрсету үшін пайдаланылуы мүмкін.
GitHub 10 ақпанда мәселе туралы хабардар етілді және npmjs.com үшін мәселені 26 сәуірде пайдаланушылардан басқа жобаға қосылуға келісім беруін талап етіп түзетті. NPM пакеттерінің үлкен санын әзірлеушілерге олардың келісімінсіз қосылған байлаулар үшін пакеттер тізімін тексеру ұсынылады.
Ақпарат көзі: opennet.ru