Идентификован је безбедносни проблем у спремишту НПМ пакета који омогућава власнику пакета да дода било ког корисника као одржаваоца без добијања сагласности тог корисника и без обавештења о предузетим радњама. Да би се проблем погоршао, када је трећа страна додата као одржавалац, оригинални аутор пакета могао је да се уклони са листе одржавалаца, остављајући трећу страну као једину особу одговорну за пакет.
Проблем би могли да искористе креатори злонамерних пакета да додају познате програмере или велике компаније у број одржавалаца како би повећали поверење корисника и створили илузију да су уважени програмери одговорни за пакет, иако у ствари они немају никакве везе са тим и не знају ни за његово постојање. На пример, нападач би могао да објави злонамерни пакет, промени одржаваоца и позове кориснике да тестирају нови развој велике компаније. Рањивост би се такође могла искористити за нарушавање репутације појединих програмера, представљајући их као покретаче сумњивих радњи и злонамерних радњи.
ГитХуб је обавештен о проблему 10. фебруара и поправио га је за нпмјс.цом 26. априла захтевајући од корисника да потврде сагласност да се придруже другом пројекту. Програмери великог броја НПМ пакета се подстичу да провере своју листу пакета за везивања која су додата без њихове сагласности.
Извор: опеннет.ру