NPM 软件包存储库中已发现一个安全问题,该问题允许软件包所有者将任何用户添加为维护者,而无需获得该用户的同意,也无需通知所采取的操作。 使问题更加复杂的是,一旦将第三方添加为维护者,程序包的原始作者就可以将自己从维护者列表中删除,使第三方成为该程序包的唯一负责人。
恶意软件包的创建者可能会利用此问题,将知名开发人员或大公司添加到维护者数量中,以增加用户信任并造成受人尊敬的开发人员对该软件包负责的假象,尽管事实上他们与它无关,甚至不知道它的存在。 例如,攻击者可以发布恶意包、更改维护者并邀请用户测试大公司的新开发项目。 该漏洞还可能被用来损害某些开发人员的声誉,使他们成为可疑行为和恶意行为的发起者。
GitHub 于 10 月 26 日收到有关该问题的通知,并于 XNUMX 月 XNUMX 日通过要求用户同意加入另一个项目来解决 npmjs.com 的问题。 我们鼓励大量 NPM 包的开发人员检查其包列表中是否存在未经其同意而添加的绑定。
来源: opennet.ru