GitHub ayaa shaaca ka qaaday laba shil oo ka mid ah kaabayaasha kaydinta xirmada NPM. Noofembar 2, cilmi-baarayaal amniga dhinac saddexaad ah (Kajetan Grzybowski iyo Maciej Piechota), oo qayb ka ah barnaamijka Bug Bounty, ayaa sheegay jiritaanka nuglaanshaha kaydka NPM kaasoo kuu oggolaanaya inaad daabacdo nooc cusub oo xirmo kasta ah adoo isticmaalaya akoonkaaga, Kaas oo aan loo oggolayn in uu sameeyo cusboonaysiinta noocaas ah.
Nuglaanta waxaa sababay hubinta ogolaanshaha khaldan ee ku jira koodka adeegyada yaryar ee ka baaraandegaya codsiyada NPM. Adeegga oggolaanshaha wuxuu sameeyay hubinta oggolaanshaha xirmada iyadoo lagu saleynayo xogta lagu gudbiyay codsiga, laakiin adeeg kale oo soo geliya cusboonaysiinta kaydka ayaa go'aamiyay xirmada in la daabaco iyadoo lagu saleynayo xogta badan ee xirmada la shubay. Sidaa darteed, weeraryahanku wuxuu codsan karaa daabacaadda cusbooneysiinta xirmokiisa, kaas oo uu heli karo, laakiin ku sheeg xirmada lafteeda macluumaadka ku saabsan xirmo kale, kaas oo ugu dambeyntii la cusbooneysiin doono.
Arrintu waxa la go'aamiyay 6 saacadood kadib nuglaanta ayaa la soo sheegay, laakiin baylahdu waxay ku jirtay NPM in ka badan daboolka talemetry. GitHub ayaa sheeganeysa in aysan jirin wax raad ah oo weeraro ah oo la isticmaalayo dayacanka tan iyo Sebtembar 2020, laakiin ma jirto dammaanad qaadka in dhibka aan horay looga faa'ideysan.
Dhacdada labaad waxay dhacday Oktoobar 26. Inta lagu jiro shaqada farsamada ee xogta adeegga replicate.npmjs.com, joogitaanka xogta sirta ah ee kaydka macluumaadka ee la heli karo codsiyada dibadda ayaa la muujiyay, oo muujinaya macluumaadka ku saabsan magacyada baakadaha gudaha ee lagu sheegay diiwaanka isbeddelka. Macluumaadka ku saabsan magacyada noocaas ah waxaa loo isticmaali karaa in lagu fuliyo weeraro ku-tiirsanaan mashaariicda gudaha ah (bishii Febraayo, weerar la mid ah ayaa loo oggolaaday in kood lagu fuliyo server-yada PayPal, Microsoft, Apple, Netflix, Uber iyo 30 shirkadood oo kale).
Intaa waxaa dheer, iyadoo ay ugu wacan tahay tirada sii kordheysa ee kiisaska kaydinta mashaariicda waaweyn ee la afduubay iyo kood xaasidnimo ah oo lagu xayeysiinayo iyada oo la adeegsanayo xisaabaadka horumariyaha, GitHub waxay go'aansatay inay soo bandhigto caddayn laba arrimood ah oo khasab ah. Isbeddelku wuxuu dhaqan geli doonaa rubuca hore ee 2022 wuxuuna khusayn doonaa ilaaliyayaasha iyo maamulayaasha baakadaha lagu daray liiska ugu caansan. Intaa waxaa dheer, waxaa laga soo sheegay casriyeynta kaabayaasha, kaas oo kormeerka iswada iyo falanqaynta noocyada cusub ee xirmooyinka la soo bandhigi doono si goor hore loo ogaado isbeddellada xaasidnimada leh.
Aan xasuusanno, marka loo eego daraasad la sameeyay 2020, kaliya 9.27% ββilaaliyeyaasha xirmooyinka ayaa adeegsada xaqiijinta laba-geesoodka ah si ay u ilaaliyaan gelitaanka, iyo 13.37% kiisaska, markii la diiwaangelinayo xisaabaadka cusub, horumariyayaashu waxay isku dayeen inay dib u isticmaalaan furaha sirta ah ee ka soo muuqday Furaha sirta ah ee la yaqaan. Inta lagu guda jiro dib u eegista amniga erayga sirta ah, 12% ee xisaabaadka NPM (13% ee xirmooyinka) ayaa la helay iyadoo ay ugu wacan tahay adeegsiga ereyada sirta ah ee la saadaalin karo iyo kuwa fudud sida "123456." Waxaa ka mid ah kuwa dhibaatada leh 4 xisaabaad isticmaale oo ka mid ah 20-ka xirmo ee ugu caansan, 13 akoon oo baakidhooyin ah oo la soo dejiyay in ka badan 50 milyan jeer bishii, 40 oo leh in ka badan 10 milyan oo la soo dejiyo bishii, iyo 282 oo leh in ka badan 1 milyan oo la soo dejiyo bishii. Iyadoo la tixgalinayo rarida cutubyada oo ay weheliyaan silsilado ku tiirsanaansho ah, tanaasulka xisaabaadka aan la aamini karin waxay saameyn kartaa ilaa 52% dhammaan cutubyada NPM.
Source: opennet.ru