Идентификуван е безбедносен проблем во складиштето на пакети NPM што му овозможува на сопственикот на пакетот да додаде кој било корисник како одржувач без да добие согласност од тој корисник и без да биде информиран за преземените дејства. За да се усложни проблемот, штом ќе се додаде трета страна како одржувач, оригиналниот автор на пакетот може да се отстрани од списокот на одржувачи, оставајќи ја третата страна како единственото лице одговорно за пакетот.
Проблемот може да го искористат креаторите на малициозните пакети за да додадат познати програмери или големи компании на бројот на одржувачи со цел да се зголеми довербата на корисниците и да се создаде илузија дека почитуваните програмери се одговорни за пакетот, иако всушност тие немаат никаква врска со тоа и не ни знаат за неговото постоење. На пример, напаѓачот може да објави злонамерен пакет, да го смени одржувачот и да ги покани корисниците да тестираат нов развој од голема компанија. Ранливоста може да се искористи и за да се наруши угледот на одредени програмери, претставувајќи ги како иницијатори на сомнителни акции и злонамерни дејства.
GitHub беше известен за проблемот на 10-ти февруари и го реши проблемот за npmjs.com на 26-ти април, барајќи од корисниците да се согласат да се приклучат на друг проект. Програмерите на голем број NPM пакети се охрабруваат да ја проверат својата листа на пакети за врзување што се додадени без нивна согласност.
Извор: opennet.ru