NPM бумасының репозитарийінде қауіпсіздік мәселесі табылды, ол пакет иесіне кез келген пайдаланушыны сол пайдаланушының келісімінсіз немесе хабарландыруынсыз қолдаушы ретінде қосуға мүмкіндік береді. Мәселе үшінші тарап пайдаланушысын техникалық қызмет көрсетуші ретінде қосқаннан кейін түпнұсқалық бума авторы өзін қолдаушылар тізімінен алып тастауы мүмкін және үшінші тарап пайдаланушысы бума үшін жауапты болады.
Бұл осалдықты зиянды пакетті жасаушылар белгілі әзірлеушілерді немесе ірі компанияларды қызмет көрсетушілер тізіміне қосу үшін пайдалана алады, осылайша пайдаланушының сенімін арттырады және осы беделді әзірлеушілер пакетпен байланысы жоқ және оның бар екенін білмесе де, пакетке жауапты деген елес тудыруы мүмкін. Мысалы, шабуылдаушы зиянды буманы орналастыра алады, қолдаушыны өзгерте алады және пайдаланушыларды ірі компанияның жаңа әзірлемесін тексеруге шақыра алады. Сондай-ақ осалдық кейбір әзірлеушілерді күмәнді науқандар мен зиянды әрекеттердің қоздырғыштары ретінде көрсету арқылы олардың беделіне нұқсан келтіру үшін пайдаланылуы мүмкін.
GitHub 10 ақпанда мәселе туралы хабардар болды және оны npmjs.com сайтында 26 сәуірде басқа жобаға қосылмас бұрын пайдаланушылардан келісімін растауды талап етіп түзетті. NPM пакеттерінің үлкен санын әзірлеушілерге олардың келісімінсіз қосылған байланыстыру үшін пакеттер тізімін тексеру ұсынылады.
Ақпарат көзі: opennet.ru
