Ett säkerhetsproblem har identifierats i NPM-paketförrådet som gör att paketägaren kan lägga till vilken användare som helst som underhållare utan att inhämta samtycke från den användaren och utan att bli informerad om den åtgärd som vidtagits. För att förvärra problemet, när en tredje part väl har lagts till som underhållare, kunde den ursprungliga författaren av paketet ta bort sig själv från listan över underhållare och lämna den tredje parten som den enda ansvarig för paketet.
Problemet skulle kunna utnyttjas av skaparna av skadliga paket för att lägga till välkända utvecklare eller stora företag till antalet underhållare för att öka användarnas förtroende och skapa illusionen att respekterade utvecklare är ansvariga för paketet, även om de faktiskt har inget med det att göra och vet inte ens om dess existens. Till exempel kan en angripare posta ett skadligt paket, byta underhållare och bjuda in användare att testa en ny utveckling från ett stort företag. Sårbarheten kan också användas för att smutskasta ryktet för vissa utvecklare och presentera dem som initiativtagare till tvivelaktiga handlingar och skadliga handlingar.
GitHub underrättades om problemet den 10 februari och fixade problemet för npmjs.com den 26 april genom att kräva att användarna gick med på att gå med i ett annat projekt. Utvecklare av ett stort antal NPM-paket uppmanas att kontrollera sin lista över paket för bindningar som har lagts till utan deras medgivande.
Källa: opennet.ru