V úložisku balíkov NPM bol identifikovaný bezpečnostný problém, ktorý umožňuje vlastníkovi balíka pridať ľubovoľného používateľa ako správcu bez získania súhlasu od tohto používateľa a bez toho, aby bol informovaný o vykonanej akcii. Na znásobenie problému, keď bola pridaná tretia strana ako správca, pôvodný autor balíka sa mohol odstrániť zo zoznamu správcov, pričom tretiu stranu ponechal ako jedinú osobu zodpovednú za balík.
Problém by mohli využiť tvorcovia škodlivých balíkov na pridanie známych vývojárov alebo veľkých spoločností do počtu správcov, aby zvýšili dôveru používateľov a vytvorili ilúziu, že za balík sú zodpovední rešpektovaní vývojári, hoci v skutočnosti nemaju s tym nic spolocne a ani nevedia o jeho existencii. Útočník by napríklad mohol zverejniť škodlivý balík, zmeniť správcu a pozvať používateľov na testovanie nového vývoja od veľkej spoločnosti. Zraniteľnosť by sa mohla použiť aj na pošpinenie dobrého mena niektorých vývojárov, ktorí by ich prezentovali ako iniciátorov pochybných činov a škodlivých činov.
GitHub bol o probléme informovaný 10. februára a 26. apríla problém vyriešil pre npmjs.com tak, že od používateľov vyžadoval súhlas s pripojením k inému projektu. Vývojárom veľkého počtu balíkov NPM sa odporúča, aby si skontrolovali zoznam balíkov pre väzby, ktoré boli pridané bez ich súhlasu.
Zdroj: opennet.ru