У репозиторії пакетів NPM виявлена проблема з безпекою, що дозволяє власнику пакета додати до числа супроводжуючих будь-якого користувача, без отримання від цього користувача згоди та без інформування про вчинену дію. Проблема ускладнюється тим, що після додавання стороннього користувача до числа супроводжуючих, початковий автор пакета міг видалити себе зі списку супроводжуючих і сторонній користувач залишався єдиною особою, яка відповідає за пакет.
Проблемою могли скористатися творці шкідливих пакетів для додавання до числа супроводжуючих відомих розробників або великих компаній з метою підвищення довіри користувачів та створення ілюзії, що заслужені розробники відповідають за пакет, хоча насправді не мають до нього жодного відношення і навіть не знають про його існування. Наприклад, атакуючий міг розмістити шкідливий пакет, змінити супроводжуючого та запросити користувачів протестувати нову розробку великої компанії. Вразливість також могла застосовуватися для очорнення репутації певних розробників, представляючи їх як ініціаторів сумнівних акцій та шкідливих дій.
Компанія GitHub була повідомлена про проблему 10 лютого та усунула її в npmjs.com 26 квітня через введення обов'язкового підтвердження у користувачів згоди на приєднання до іншого проекту. Розробникам великої кількості пакетів NPM рекомендовано перевірити, чи немає у списку пакетів прив'язок, доданих без їх згоди.
Джерело: opennet.ru