Επίσημο λογότυπο NPM © NPM
Ο διαχειριστής πακέτων κόμβων ( NPM ) ιδρύθηκε για πρώτη φορά το 2009 για να διευκολύνει την κοινή χρήση κώδικα μεταξύ προγραμματιστών προγραμμάτων JavaScript σε όλο και μεγάλο βαθμό. Η ιδέα ήταν ότι, αντί να ανταγωνίζεστε για την κατασκευή προγράμματος, η παροχή πόρων ανοιχτού κώδικα όπως η βιβλιοθήκη NPM θα μπορούσε να επιτρέψει την ανάπτυξη πάνω από αυτό που έχει ήδη αναπτυχθεί, έτσι ώστε στο ευρύτερο σχήμα των πραγμάτων, η ανάπτυξη προγραμμάτων μπορεί να φτάσει σε νέα ύψη. Η NPM μετατράπηκε σε εταιρεία το 2014 για να προωθήσει το ίδιο όραμα και η εταιρεία φιλοξενεί τώρα ένα εκπληκτικό μητρώο με περισσότερους από 700.000 κωδικούς και πακέτα που μπορούν να χρησιμοποιηθούν ελεύθερα και υπεύθυνα για την ανάπτυξη οτιδήποτε για συσκευές, εφαρμογές, ρομπότ και πολλά άλλα περισσότερο.
Σύμφωνα με το NPM CTO Silverio, διανυκτέρευση μεταξύ των 11ουκαι 12ουτον Ιούλιο, πραγματοποιήθηκε κακόβουλη επίθεση στον διακομιστή NPM όπου ένας χάκερ κατάφερε να αποκτήσει πρόσβαση στον λογαριασμό ενός προγραμματιστή και να χρησιμοποιήσει τα διαπιστευτήρια του προγραμματιστή για να κυκλοφορήσει μια faux έκδοση της βιβλιοθήκης eslint-lingkup, του eslint-lingkup 3.7.2, την οποία άτομο που έχει παραβιαστεί ήταν υπεύθυνο για τη συντήρηση. Ευτυχώς, η νέα δραστηριότητα δημιουργίας token παρατηρήθηκε σύντομα και καταβλήθηκαν προσπάθειες για τον περιορισμό και την επαναφορά της αλλαγής. Από τότε, σε βάθος έρευνα της παραβίασης, διαπιστώθηκε ότι στον κακόβουλο κώδικα δόθηκε η δυνατότητα εγγραφής διαπιστευτηρίων NPM άλλων προγραμματιστών όταν χρησιμοποιούνται από τα προγράμματά τους. Επομένως, η κοινότητα που χρησιμοποιεί τον ανοιχτό κώδικα NPM έχει συμβουλευτεί να αλλάξει όλα τα διαπιστευτήρια λογαριασμού και να αποβάλει τη συγκεκριμένη βιβλιοθήκη NPM από τα έργα τους εάν έχει χρησιμοποιηθεί.
Παρά τον τεράστιο αριθμό εβδομαδιαίων λήψεων που είναι τάσεις για το πακέτο ESLint, έχει ειπωθεί ότι δεν έχει παρατηρηθεί κακόβουλη δραστηριότητα από τους 4500 λογαριασμούς που είχαν άμεση επιτυχία για να διακυβευτούν από την πλαστή έκδοση του κώδικα. Πολλά tokens έχουν ακόμη ανακληθεί για να αποφύγουν περαιτέρω παραβίαση του μητρώου και περαιτέρω διάδοση του μολυσμένου πακέτου eslint-lingkup. Οι χρήστες κλήθηκαν επίσης στην επίσημη δήλωση του CJ Silverio να κάνουν χρήση του ελέγχου ταυτότητας δύο παραγόντων για να αποτρέψουν τέτοια κακόβουλα pushouts στο μέλλον.
Μετά από κάθε τέτοια επίθεση ανοιχτού κώδικα στον κώδικα, η κοινότητα του προγραμματιστή κάνει ένα βήμα πίσω με φόβο, αλλά στις διάφορες αναρτήσεις ιστολογίου και τα άρθρα που προκύπτουν στο μέτωπο της τεχνολογικής κοινότητας από την κακόβουλη επίθεση, οι προγραμματιστές καλούνται να τολμήσουν τέτοια συμβάντα να κρατήσουν το ακεραιότητα με την οποία έχουν δημιουργηθεί βιβλιοθήκες ανοιχτού κώδικα προς όφελος όλων των προγραμματιστών. Οι χρήστες του NPM καλούνται να συνεχίσουν και να τιμήσουν το πνεύμα με το οποίο δημιουργήθηκε αρχικά το έργο ανοιχτού κώδικα. Εάν οι χρήστες χρησιμοποιούν όλα τα μέτρα ασφαλείας παρέχονται σε αυτούς για την προστασία των βιβλιοθηκών, μια τέτοια επίθεση δεν θα έχει κανένα άνοιγμα να ξανασυμβεί.
