May natukoy na isyu sa seguridad sa repositoryo ng package ng NPM na nagbibigay-daan sa may-ari ng package na magdagdag ng sinumang user bilang isang maintainer nang hindi kumukuha ng pahintulot mula sa user na iyon at nang hindi ipinapaalam sa ginawang aksyon. Upang madagdagan ang problema, kapag naidagdag ang isang third party bilang isang maintainer, maaaring alisin ng orihinal na may-akda ng package ang kanyang sarili mula sa listahan ng mga maintainer, na iiwan ang third party bilang ang tanging tao na responsable para sa package.
Ang problema ay maaaring samantalahin ng mga tagalikha ng mga nakakahamak na pakete upang magdagdag ng mga kilalang developer o malalaking kumpanya sa bilang ng mga tagapangasiwa upang madagdagan ang tiwala ng gumagamit at lumikha ng ilusyon na ang mga iginagalang na developer ay may pananagutan para sa package, bagama't sa katunayan sila walang kinalaman dito at hindi man lang alam ang pagkakaroon nito. Halimbawa, maaaring mag-post ang isang attacker ng nakakahamak na package, baguhin ang maintainer, at mag-imbita ng mga user na sumubok ng bagong development mula sa isang malaking kumpanya. Ang kahinaan ay maaari ding gamitin upang sirain ang reputasyon ng ilang mga developer, na nagpapakita sa kanila bilang mga nagpasimula ng mga kahina-hinalang aksyon at malisyosong pagkilos.
Naabisuhan ang GitHub tungkol sa isyu noong ika-10 ng Pebrero at inayos ang isyu para sa npmjs.com noong ika-26 ng Abril sa pamamagitan ng pag-aatas sa mga user na sumang-ayon na sumali sa isa pang proyekto. Ang mga developer ng malaking bilang ng mga NPM package ay hinihikayat na suriin ang kanilang listahan ng mga package para sa mga binding na idinagdag nang walang kanilang pahintulot.
Pinagmulan: opennet.ru