E Sécherheetsprobleem gouf am NPM Package Repository identifizéiert, deen de Paketbesëtzer erlaabt all Benotzer als Ënnerhalter ze addéieren ouni Zoustëmmung vun deem Benotzer ze kréien an ouni iwwer d'Aktioun informéiert ze ginn. Fir de Problem ze kombinéieren, wann eng Drëtt Partei als Ënnerhalter bäigefüügt gouf, konnt den ursprénglechen Auteur vum Package sech aus der Lëscht vun den Ënnerhalter ewechhuelen, déi Drëtt Partei als eenzeg Persoun verantwortlech fir de Package hannerloosst.
De Problem kéint vun de Schëpfer vu béiswëlleg Pakete profitéiert ginn fir bekannte Entwéckler oder grouss Firmen un d'Zuel vun den Ënnerhalter ze addéieren fir d'Benotzervertrauen ze erhéijen an d'Illusioun ze kreéieren datt respektéiert Entwéckler fir de Package verantwortlech sinn, obwuel si tatsächlech verantwortlech sinn. hunn näischt domat ze dinn a weess och net iwwer seng Existenz. Zum Beispill, en Ugräifer kéint e béiswëlleg Package posten, den Ënnerhalter änneren an d'Benotzer invitéieren fir eng nei Entwécklung vun enger grousser Firma ze testen. D'Schwachheet kéint och benotzt ginn fir de Ruff vu bestëmmten Entwéckler ze zerstéieren, se als Initiateure vu zweifelhaften Handlungen a béiswëlleg Handlungen ze presentéieren.
GitHub gouf den 10. Februar iwwer d'Thema informéiert an huet d'Thema fir npmjs.com am Abrëll 26th fixéiert andeems d'Benotzer verlaangen datt se averstane sinn fir en anere Projet matzemaachen. Entwéckler vu grousser Zuel vun NPM Packagen ginn encouragéiert hir Lëscht vu Packagen fir Bindungen ze kontrolléieren déi ouni hir Zoustëmmung bäigefüügt goufen.
Source: opennet.ru