NPM paketi omborida xavfsizlik muammosi aniqlandi, bu paket egasiga har qanday foydalanuvchini ushbu foydalanuvchining roziligini olmasdan va amalga oshirilgan chora-tadbirlar to‘g‘risida xabardor qilmasdan turib, xizmat ko‘rsatuvchi sifatida qo‘shish imkonini beradi. Muammoni murakkablashtirish uchun, uchinchi tomon xizmat ko'rsatuvchi sifatida qo'shilgandan so'ng, paketning asl muallifi o'zini ta'minlovchilar ro'yxatidan chiqarib tashlashi mumkin va uchinchi tomon paket uchun javobgar bo'lgan yagona shaxs sifatida qoladi.
Muammodan zararli paketlar yaratuvchilari foydalanuvchi ishonchini oshirish va hurmatli ishlab chiquvchilar paket uchun mas'ul degan xayolni yaratish uchun xizmat ko'rsatuvchilar soniga taniqli ishlab chiquvchilar yoki yirik kompaniyalarni qo'shish uchun foydalanishlari mumkin, garchi aslida ular u bilan hech qanday aloqasi yo'q va uning mavjudligi haqida ham bilishmaydi. Misol uchun, tajovuzkor zararli paketni joylashtirishi, xizmat ko'rsatuvchini o'zgartirishi va foydalanuvchilarni yirik kompaniyaning yangi ishlanmasini sinab ko'rishga taklif qilishi mumkin. Zaiflikdan ayrim ishlab chiquvchilarning obro‘siga putur yetkazish, ularni shubhali harakatlar va zararli harakatlar tashabbuskori sifatida ko‘rsatish uchun ham foydalanish mumkin.
GitHub 10-fevral kuni muammo haqida xabardor qilingan va 26-aprelda npmjs.com uchun muammoni foydalanuvchilardan boshqa loyihaga qo‘shilishga rozi bo‘lishlarini talab qilib tuzatgan. Ko'p sonli NPM paketlarini ishlab chiquvchilarga ularning roziligisiz qo'shilgan paketlar ro'yxatini tekshirish tavsiya etiladi.
Manba: opennet.ru