ปัญหาด้านความปลอดภัยได้รับการระบุในพื้นที่เก็บข้อมูลแพ็กเกจ NPM ซึ่งช่วยให้เจ้าของแพ็กเกจสามารถเพิ่มผู้ใช้ใดๆ เป็นผู้ดูแลรักษาโดยไม่ได้รับความยินยอมจากผู้ใช้รายนั้น และไม่ได้รับแจ้งถึงการดำเนินการที่เกิดขึ้น เพื่อแก้ไขปัญหานี้ เมื่อมีการเพิ่มบุคคลที่สามเป็นผู้ดูแล ผู้เขียนต้นฉบับของแพ็คเกจสามารถลบตัวเองออกจากรายชื่อผู้ดูแล โดยปล่อยให้บุคคลที่สามเป็นคนเดียวที่รับผิดชอบแพ็คเกจ
ผู้สร้างแพ็คเกจที่เป็นอันตรายอาจใช้ประโยชน์จากปัญหาเพื่อเพิ่มนักพัฒนาที่มีชื่อเสียงหรือบริษัทขนาดใหญ่ให้กับจำนวนผู้ดูแล เพื่อเพิ่มความไว้วางใจของผู้ใช้และสร้างภาพลวงตาว่านักพัฒนาที่ได้รับความเคารพต้องรับผิดชอบต่อแพ็คเกจแม้ว่าในความเป็นจริงแล้ว ไม่มีส่วนเกี่ยวข้องกับมันและไม่รู้ด้วยซ้ำเกี่ยวกับการมีอยู่ของมัน ตัวอย่างเช่น ผู้โจมตีสามารถโพสต์แพ็คเกจที่เป็นอันตราย เปลี่ยนผู้ดูแล และเชิญผู้ใช้ให้ทดสอบการพัฒนาใหม่จากบริษัทขนาดใหญ่ ช่องโหว่นี้ยังสามารถใช้เพื่อทำให้ชื่อเสียงของนักพัฒนาบางรายเสื่อมเสีย โดยแสดงให้เห็นว่าพวกเขาเป็นผู้ริเริ่มการกระทำที่น่าสงสัยและการกระทำที่เป็นอันตราย
GitHub ได้รับแจ้งปัญหาในวันที่ 10 กุมภาพันธ์ และแก้ไขปัญหาสำหรับ npmjs.com เมื่อวันที่ 26 เมษายน โดยกำหนดให้ผู้ใช้ตกลงที่จะเข้าร่วมโครงการอื่น นักพัฒนาแพ็คเกจ NPM จำนวนมากควรตรวจสอบรายการแพ็คเกจเพื่อดูการเชื่อมโยงที่เพิ่มเข้ามาโดยไม่ได้รับความยินยอม
ที่มา: opennet.ru