Ġiet identifikata kwistjoni ta' sigurtà fir-repożitorju tal-pakketti tal-NPM li tippermetti lis-sid tal-pakkett iżid kwalunkwe utent bħala manutenzjoni mingħajr ma jikseb il-kunsens minn dak l-utent u mingħajr ma jkun infurmat bl-azzjoni meħuda. Biex tikkomplika l-problema, ladarba parti terza ġiet miżjuda bħala manutenzjoni, l-awtur oriġinali tal-pakkett jista 'jneħħi lilu nnifsu mil-lista ta' manutenzjoni, u jħalli lill-parti terza bħala l-unika persuna responsabbli għall-pakkett.
Il-problema tista' tittieħed vantaġġ minnha mill-ħallieqa ta' pakketti malizzjużi biex iżidu żviluppaturi magħrufa sew jew kumpaniji kbar man-numru ta' manutenzjoni sabiex tiżdied il-fiduċja tal-utent u tinħoloq l-illużjoni li żviluppaturi rispettati huma responsabbli għall-pakkett, għalkemm fil-fatt huma m'għandha x'taqsam xejn magħha u lanqas biss jafu dwar l-eżistenza tagħha. Pereżempju, attakkant jista' jpoġġi pakkett malizzjuż, ibiddel il-mantenitur, u jistieden lill-utenti biex jittestjaw żvilupp ġdid minn kumpanija kbira. Il-vulnerabbiltà tista 'tintuża wkoll biex ittebba r-reputazzjoni ta' ċerti żviluppaturi, billi tippreżentahom bħala l-inizjaturi ta 'azzjonijiet dubjużi u azzjonijiet malizzjużi.
GitHub ġie nnotifikat bil-kwistjoni fl-10 ta’ Frar u rranġa l-kwistjoni għal npmjs.com fis-26 ta’ April billi talab lill-utenti biex jaqblu li jissieħbu f’proġett ieħor. L-iżviluppaturi ta' għadd kbir ta' pakketti NPM huma mħeġġa jiċċekkjaw il-lista tagħhom ta' pakketti għal rbit li jkunu ġew miżjuda mingħajr il-kunsens tagħhom.
Sors: opennet.ru