Isu keselamatan telah dikenal pasti dalam repositori pakej NPM yang membenarkan pemilik pakej menambah mana-mana pengguna sebagai penyelenggara tanpa mendapat persetujuan daripada pengguna tersebut dan tanpa dimaklumkan tentang tindakan yang diambil. Untuk menambah masalah, sebaik sahaja pihak ketiga ditambahkan sebagai penyelenggara, pengarang asal pakej boleh mengeluarkan dirinya daripada senarai penyelenggara, meninggalkan pihak ketiga sebagai satu-satunya orang yang bertanggungjawab untuk pakej tersebut.
Masalah ini boleh diambil kesempatan oleh pencipta pakej berniat jahat untuk menambah pemaju terkenal atau syarikat besar kepada bilangan penyelenggara untuk meningkatkan kepercayaan pengguna dan mencipta ilusi bahawa pemaju yang dihormati bertanggungjawab untuk pakej itu, walaupun sebenarnya mereka tiada kaitan dengannya malah tidak tahu kewujudannya. Contohnya, penyerang boleh menyiarkan pakej berniat jahat, menukar penyelenggara dan menjemput pengguna untuk menguji pembangunan baharu daripada syarikat besar. Kerentanan itu juga boleh digunakan untuk mencemarkan reputasi pembangun tertentu, menunjukkan mereka sebagai pencetus tindakan yang meragukan dan tindakan berniat jahat.
GitHub telah dimaklumkan tentang isu itu pada 10 Februari dan membetulkan isu untuk npmjs.com pada 26 April dengan menghendaki pengguna bersetuju untuk menyertai projek lain. Pembangun sejumlah besar pakej NPM digalakkan untuk menyemak senarai pakej mereka untuk pengikatan yang telah ditambah tanpa kebenaran mereka.
Sumber: opennet.ru