NPM paketo saugykloje buvo nustatyta saugos problema, leidžianti paketo savininkui pridėti bet kurį vartotoją kaip prižiūrėtoją negavus to vartotojo sutikimo ir neinformuojant apie atliktus veiksmus. Kad problema būtų sudėtingesnė, kai trečioji šalis buvo įtraukta kaip prižiūrėtoja, pradinis paketo autorius galėjo pašalinti save iš prižiūrėtojų sąrašo, palikdamas trečiąją šalį vieninteliu už paketą atsakingu asmeniu.
Šia problema galėtų pasinaudoti kenkėjiškų paketų kūrėjai, norėdami į prižiūrėtojų skaičių įtraukti žinomus kūrėjus ar dideles įmones, kad padidintų vartotojų pasitikėjimą ir sukurtų iliuziją, kad už paketą atsakingi gerbiami kūrėjai, nors iš tikrųjų jie neturi nieko bendro su juo ir net nežino apie jo egzistavimą. Pavyzdžiui, užpuolikas gali paskelbti kenkėjišką paketą, pakeisti prižiūrėtoją ir pakviesti vartotojus išbandyti naują didelės įmonės plėtrą. Pažeidžiamumas taip pat gali būti panaudotas tam tikrų kūrėjų reputacijai sumenkinti, pristatant juos kaip abejotinų ir piktavališkų veiksmų iniciatorius.
„GitHub“ buvo pranešta apie problemą vasario 10 d., o balandžio 26 d. ji ištaisė npmjs.com, reikalaudama, kad vartotojai sutiktų prisijungti prie kito projekto. Daugelio NPM paketų kūrėjai raginami patikrinti, ar jų paketų sąraše nėra surišimų, kurie buvo pridėti be jų sutikimo.
Šaltinis: opennet.ru