Az NPM hivatalos emblémája © NPM
A Node Package Manager ( NPM ) először 2009-ben hozták létre, hogy megkönnyítsék a kódmegosztást a JavaScript programfejlesztők között messze földön. Az elképzelés az volt, hogy ahelyett, hogy versenyezne a program építésében, a nyílt forráskódú források, például az NPM könyvtár biztosítása lehetővé teheti a fejlesztés feletti fejlesztést, hogy a dolgok nagyszerűbb sémájában a programfejlesztés új magasságokba jusson. Az NPM-et 2014-ben céggé alakították, hogy ugyanazt a jövőképet mozdítsa elő, és a vállalat ma már több mint 700 000 kódot és csomagot tartalmazó megdöbbentő nyilvántartást tartalmaz, amelyek szabadon és felelősségteljesen felhasználhatók bármi eszköz, alkalmazás, robot és bármi más fejlesztéséhez. több.
Az NPM Silver Cio Silverio szerint egyik napról a másikra a 11thés 12thjúliusban rosszindulatú támadás történt az NPM szerveren, ahol egy hackernek sikerült hozzáférnie egy fejlesztői fiókhoz, és a fejlesztői hitelesítő adatok felhasználásával kiadta az eslint hatókörű könyvtár faux változatát, az eslint hatókör 3.7.2-et, amelyet a feltört személy felelős a fenntartásáért. Szerencsére hamarosan észrevették az új token-generációs tevékenységet, és erőfeszítéseket tettek a változás korlátozására és visszaállítására. Azóta alaposan vizsgálat a szabálysértés megállapítása szerint a rosszindulatú kódnak lehetősége nyílt más fejlesztők NPM-hitelesítő adatainak rögzítésére, amikor a programjaik ezt használják. Ezért azt a tanácsot kapta az NPM nyílt forráskódot használó közösség számára, hogy változtassa meg az összes fiók hitelesítő adatait, és zárja ki ezt a NPM könyvtárat a projektjeikből, ha használatba vették.
Annak ellenére, hogy az ESLint csomagra a hatalmas számú heti letöltés jellemző, azt mondták, hogy nem észleltek rosszindulatú tevékenységet a 4500 fiókból, amelyeket a közvetlen futtatás során a kód faux verziója veszélyeztetett. Számos tokent még visszahívtak, hogy elkerüljék a rendszerleíró adatbázis további beavatkozását és a fertőzött eslint-hatókörű csomag további terjesztését. A CJ Silverio hivatalos nyilatkozatában a felhasználókat arra is felszólították, hogy használják a két tényezős hitelesítést, hogy megakadályozzák az ilyen rosszindulatú kiugrásokat a jövőben.
Minden ilyen nyílt forráskódú kód elleni támadás után a fejlesztői közösség félve hátralép, de a rosszindulatú támadás óta a technológiai közösség frontján felmerülő különféle blogbejegyzésekben és szerkesztőségekben a fejlesztőket arra ösztönzik, hogy bátran tartsák be az ilyen eseteket, hogy tartsák magukat a az integritás, amellyel nyílt forráskódú könyvtárakat hoztak létre minden fejlesztő érdekében. Az NPM felhasználókat arra kérjük, hogy folytassák a tiszteletet azzal a szellemmel, amellyel a nyílt forráskódú projektet eredetileg létrehozták. Ha a felhasználók alkalmazzák az összes biztonsági intézkedések biztosított számukra a könyvtárak védelme érdekében, egy ilyen támadás nem fog újból megnyílni.
