УПМ топтомунун репозиторийинде коопсуздук маселеси аныкталды, бул пакеттин ээсине каалаган колдонуучуну ошол колдонуучунун макулдугусуз жана көрүлгөн чаралар жөнүндө кабардар болбостон тейлөөчү катары кошууга мүмкүндүк берет. Көйгөйдү татаалдаштыруу үчүн, тейлөөчү катары үчүнчү тарап кошулгандан кийин, пакеттин түпнуска автору өзүн тейлөөчүлөрдүн тизмесинен чыгарып, пакет үчүн жооптуу жалгыз адам катары үчүнчү тарапты калтыра алат.
Көйгөй зыяндуу пакеттерди жаратуучулар тарабынан пайдалануучулардын ишенимин арттыруу жана урматтуу иштеп чыгуучулар пакет үчүн жооптуу деген иллюзияны түзүү максатында тейлөөчүлөрдүн санына белгилүү иштеп чыгуучуларды же ири компанияларды кошуу үчүн пайдаланышы мүмкүн, бирок чындыгында алар ага эч кандай тиешеси жок жана анын бар экендиги жөнүндө да билишпейт. Мисалы, чабуулчу зыяндуу пакетти жайгаштырышы, тейлөөчүсүн өзгөртүшү жана колдонуучуларды чоң компаниянын жаңы иштеп чыгуусун сынап көрүүгө чакырышы мүмкүн. Алсыздык айрым иштеп чыгуучулардын аброюна шек келтирип, аларды шектүү аракеттердин жана зыяндуу аракеттердин демилгечилери катары көрсөтүү үчүн да колдонулушу мүмкүн.
GitHub бул маселе тууралуу 10-февралда кабардар болуп, npmjs.com сайтынын көйгөйүн 26-апрелде колдонуучулардан башка долбоорго кошулууга макулдук берүүсүн талап кылган. КЭУБ пакеттеринин көп сандагы иштеп чыгуучулары алардын макулдугусуз кошулган байламталардын тизмесин текшерүүгө чакырылат.
Source: opennet.ru