Një çështje sigurie është identifikuar në depon e paketave NPM që lejon zotëruesin e paketës të shtojë çdo përdorues si mirëmbajtës pa marrë pëlqimin nga ai përdorues dhe pa u informuar për veprimet e ndërmarra. Për të komplikuar problemin, sapo të shtohej një palë e tretë si mirëmbajtësi, autori origjinal i paketës mund të hiqte veten nga lista e mirëmbajtësve, duke e lënë palën e tretë si personin e vetëm përgjegjës për paketën.
Problemi mund të shfrytëzohet nga krijuesit e paketave me qëllim të keq për të shtuar zhvillues të njohur ose kompani të mëdha në numrin e mirëmbajtësve në mënyrë që të rritet besimi i përdoruesit dhe të krijohet iluzioni se zhvilluesit e respektuar janë përgjegjës për paketën, megjithëse në fakt ata nuk kanë asnjë lidhje me të dhe as nuk dinë për ekzistencën e saj. Për shembull, një sulmues mund të postojë një paketë me qëllim të keq, të ndryshojë mirëmbajtjen dhe të ftojë përdoruesit të testojnë një zhvillim të ri nga një kompani e madhe. Dobësia mund të përdoret gjithashtu për të dëmtuar reputacionin e disa zhvilluesve, duke i paraqitur ata si iniciatorë të veprimeve të dyshimta dhe veprimeve keqdashëse.
GitHub u njoftua për problemin më 10 shkurt dhe e rregulloi problemin për npmjs.com më 26 prill duke u kërkuar përdoruesve të pranojnë t'i bashkohen një projekti tjetër. Zhvilluesit e një numri të madh paketash NPM inkurajohen të kontrollojnë listën e tyre të paketave për lidhjet që janë shtuar pa pëlqimin e tyre.
Burimi: opennet.ru