NPM: n virallinen logo © NPM
Node Package Manager ( NPM ) perustettiin ensimmäisen kerran vuonna 2009 helpottamaan koodien jakamista JavaScript-ohjelmakehittäjien välillä laajasti. Ajatuksena oli, että avoimen lähdekoodin resurssien, kuten NPM-kirjaston, tarjoaminen sen sijaan, että kilpailisi rakentamaan ohjelmaa, voisi mahdollistaa kehityksen jo kehitetyn yläpuolella, jotta ohjelmien kehittäminen voisi saavuttaa suurempia asioita. NPM: stä tehtiin yritys vuonna 2014 saman näkemyksen eteenpäin viemiseksi, ja yrityksessä on nyt yllättävä rekisteri, jossa on yli 700 000 koodia ja pakettia, joita voidaan käyttää vapaasti ja vastuullisesti kaikenlaisten laitteiden, sovellusten, robottien ja monien muiden kehittämiseen. lisää.
NPM: n CTO Silverion mukaan yön yli 11thja 12thheinäkuussa, haitallinen hyökkäys tapahtui NPM-palvelimessa, jossa hakkeri onnistui saamaan pääsyn kehittäjän tiliin ja käyttämään kehittäjän tunnistetietoja vapauttamaan eslint-scope-kirjaston faux-version, eslint-scope 3.7.2, jonka hakkeroitu henkilö oli vastuussa ylläpidosta. Onneksi uusi tunnuksenmuodostustoiminta huomattiin pian ja muutosta yritettiin rajoittaa ja palauttaa. Siitä lähtien perusteellisesti tutkinta rikkomuksesta todettiin, että haitalliselle koodille annettiin mahdollisuus tallentaa muiden kehittäjien NPM-tunnistetiedot, kun he käyttivät ohjelmiaan. Siksi NPM: n avointa lähdekoodia käyttävää yhteisöä on kehotettu vaihtamaan kaikki tilin tunnistetiedot ja karkottamaan tämä tietty NPM-kirjasto projekteistaan, jos se on otettu käyttöön.
Huolimatta ESLint-paketin trendikkäistä viikoittaisista latauksista, on sanottu, että 4500 tililtä, jotka olivat suorassa osumassa, ei havaittu haitallista toimintaa koodin faux-version vaarantamana. Monet tunnukset on edelleen palautettu muistiin, jotta vältetään rekisterin muuttaminen ja tartunnan saaneen eslint-scope-paketin edelleen levittäminen. CJ Silverion virallisessa lausunnossa käyttäjiä on myös kehotettu käyttämään olemassa olevaa kahden tekijän todennusta estääkseen tällaiset haitalliset työntymät tulevaisuudessa.
Jokaisen tällaisen avoimen lähdekoodin koodikohtaisen hyökkäyksen jälkeen kehittäjäyhteisö ottaa askeleen taaksepäin pelossa, mutta erilaisissa blogiviesteissä ja toimitusjulkaisuissa, jotka ilmenivät teknisen yhteisön edessä haitallisen hyökkäyksen jälkeen, kehittäjiä kehotetaan rohkeasti pitämään tällaiset tapaukset kiinni eheys, jolla avoimen lähdekoodin kirjastot on luotu kaikkien kehittäjien hyödyksi. NPM: n käyttäjiä kehotetaan jatkamaan ja kunnioittamaan henkeä, jolla avoimen lähdekoodin projekti alun perin perustettiin. Jos käyttäjät käyttävät kaikkia turvatoimet Jos heille tarjotaan kirjastojen turvaamiseksi, tämänkaltaiselle hyökkäykselle ei anneta mitään aukkoa.
