NPM தொகுப்பு களஞ்சியத்தில் ஒரு பாதுகாப்புச் சிக்கல் அடையாளம் காணப்பட்டுள்ளது, இது அந்த பயனரின் ஒப்புதலைப் பெறாமலும், எடுக்கப்பட்ட நடவடிக்கை குறித்து தெரிவிக்கப்படாமலும் எந்தவொரு பயனரையும் பராமரிப்பாளராகச் சேர்க்க தொகுப்பு உரிமையாளரை அனுமதிக்கிறது. சிக்கலை அதிகரிக்க, ஒரு மூன்றாம் தரப்பினர் பராமரிப்பாளராக சேர்க்கப்பட்டவுடன், தொகுப்பின் அசல் ஆசிரியர் தன்னைப் பராமரிப்பாளர்களின் பட்டியலிலிருந்து நீக்கி, மூன்றாம் தரப்பினரை மட்டுமே தொகுப்பிற்குப் பொறுப்பேற்க வேண்டும்.
தீங்கிழைக்கும் பேக்கேஜ்களை உருவாக்குபவர்கள், பயனர் நம்பிக்கையை அதிகரிப்பதற்காக, நன்கு அறியப்பட்ட டெவலப்பர்கள் அல்லது பெரிய நிறுவனங்களை பராமரிப்பாளர்களின் எண்ணிக்கையில் சேர்ப்பதற்காக இந்த சிக்கலைப் பயன்படுத்திக் கொள்ளலாம். அதற்கும் எந்த சம்பந்தமும் இல்லை மற்றும் அதன் இருப்பு பற்றி கூட தெரியாது. எடுத்துக்காட்டாக, தாக்குபவர் ஒரு தீங்கிழைக்கும் தொகுப்பை இடுகையிடலாம், பராமரிப்பாளரை மாற்றலாம் மற்றும் ஒரு பெரிய நிறுவனத்திலிருந்து புதிய மேம்பாட்டைச் சோதிக்க பயனர்களை அழைக்கலாம். சில டெவலப்பர்களின் நற்பெயருக்கு களங்கம் ஏற்படுத்தவும், சந்தேகத்திற்குரிய செயல்கள் மற்றும் தீங்கிழைக்கும் செயல்களின் தொடக்கக்காரர்களாக அவர்களைக் காட்டவும் இந்த பாதிப்பு பயன்படுத்தப்படலாம்.
பிப்ரவரி 10 ஆம் தேதி GitHub க்கு இந்தச் சிக்கல் குறித்து அறிவிக்கப்பட்டது மற்றும் npmjs.com க்கான சிக்கலை ஏப்ரல் 26 ஆம் தேதி சரிசெய்தது, பயனர்கள் மற்றொரு திட்டத்தில் சேர ஒப்புக்கொள்ள வேண்டும். அதிக எண்ணிக்கையிலான NPM தொகுப்புகளின் டெவலப்பர்கள், அவர்களின் அனுமதியின்றி சேர்க்கப்பட்ட பைண்டிங்களுக்கான தொகுப்புகளின் பட்டியலைச் சரிபார்க்க ஊக்குவிக்கப்படுகிறார்கள்.
ஆதாரம்: opennet.ru