לוגו רשמי של NPM © NPM
מנהל חבילות הצומת ( NPM ) הוקמה לראשונה בשנת 2009 על מנת להקל על שיתוף הקודים בין מפתחי תוכניות JavaScript לרחבה. הרעיון היה שבמקום להתחרות בבניית תוכנית, אספקת משאבי קוד פתוח כמו ספריית NPM יכולה לאפשר פיתוח מעל למה שכבר פותח, כך שבתכנית הגדולה יותר של דברים, פיתוח התוכניות יכול להגיע לשיאים חדשים. NPM הפכה לחברה בשנת 2014 כדי לקדם את אותו חזון, והחברה מארחת כעת רישום מדהים של למעלה מ- 700,000 קודים וחבילות שניתן להשתמש בהם בחופשיות ובאחריות לפיתוח כל דבר למכשירים, יישומים, רובוטים ועוד. יותר.
על פי נתוני CTO של NPM Silverio, בין לילה 11הו 12הביולי התקיימה התקפה זדונית על שרת NPM, שם הצליח האקר להשיג גישה לחשבון מפתח ולהשתמש באישורי היזם כדי לשחרר גרסה מזויפת של ספריית ה- eslint-scope, ה- eslint-scope 3.7.2, אשר אדם פרוץ היה אחראי לתחזוקה. למרבה המזל הפעילות החדשה של דור האסימונים הושגה בקרוב והשתדלו להגביל ולהחזיר את השינוי. מאז, ביסודיות חֲקִירָה של ההפרה, נמצא כי לקוד הזדוני הוענקה היכולת לרשום אישורי NPM של מפתחים אחרים בעת השימוש בתוכניות שלהם. לכן, לקוד הקוד הפתוח של NPM הקהילה הומלץ לשנות את כל אישורי החשבון ולגרש את ספריית ה- NPM הספציפית הזו מהפרויקטים שלהם אם היא הופעלה לשימוש.
למרות המספר העצום של הורדות שבועיות עבור חבילת ESLint, נאמר כי לא נצפתה פעילות זדונית מ- 4500 חשבונות שהיו במכה ישירה כדי להתפשר על ידי הגרסה המזויפת של הקוד. אסימונים רבים עדיין הוחזרו כדי להימנע מהתעסקות נוספת ברישום והפצה נוספת של חבילת ה- eslint הנגועה. המשתמשים הוזעקו גם בהצהרה הרשמית של CJ Silverio לעשות שימוש באימות שני הגורמים במקום כדי למנוע דחפים זדוניים כאלה בעתיד.
לאחר כל התקפה קוד פתוח שכזו על קוד, קהילת המפתחים לוקחת צעד אחורה בפחד, אך בפוסטים השונים ובמאמרי המערכת המתעוררים בחזית הקהילה הטכנולוגית מאז ההתקפה הזדונית, המפתחים נקראים לאמיץ תקריות כאלה כדי להחזיק מעמד שלמות איתה נוצרו ספריות קוד פתוח לרווחת כל המפתחים. משתמשי NPM נקראים להמשיך ולכבד את הרוח שבה הוקם בתחילה פרויקט הקוד הפתוח. אם משתמשים מעסיקים את כל ה אמצעי ביטחון מסופק להם כדי להגן על הספריות, מתקפה כמו זו לא תינתן שום פתח להתרחש שוב.
