NPM officielle logo © NPM
Nodepakkehåndteringen ( NPM ) blev først etableret i 2009 for at lette kodedeling mellem JavaScript-programudviklere vidt og bredt. Ideen var, at i stedet for at konkurrere om at opbygge program, kunne tilvejebringelse af open source-ressourcer såsom NPM-biblioteket muliggøre udvikling, der ligger over det, der allerede er udviklet, så programudviklingen i den større ordning af ting kan nå nye højder. NPM blev omdannet til en virksomhed i 2014 for at skubbe den samme vision frem, og virksomheden er nu vært for et forbløffende register med over 700.000 koder og pakker, der kan bruges frit og ansvarligt til at udvikle noget til enheder, applikationer, robotter og meget mere mere.
Ifølge NPM CTO Silverio, natten over mellem 11thog 12thi juli fandt der et ondsindet angreb sted på NPM-serveren, hvor en hacker formåede at få adgang til en udviklers konto og bruge udviklerens legitimationsoplysninger til at frigive en faux version af eslint-scope-biblioteket, eslint-scope 3.7.2, som hacket person var ansvarlig for vedligeholdelse. Heldigvis blev den nye token generation aktivitet bemærket snart, og der blev gjort en indsats for at begrænse og vende ændringen. Siden da i en grundig efterforskning af overtrædelsen blev det konstateret, at den ondsindede kode fik muligheden for at registrere NPM-legitimationsoplysninger fra andre udviklere, når de blev brugt af deres programmer. Derfor er NPM-open source-koden, der benytter samfundet, blevet rådet til at ændre alle kontooplysninger og udvise dette særlige NPM-bibliotek fra deres projekter, hvis det er blevet brugt til brug.
På trods af det enorme antal ugentlige downloads, der trender til ESLint-pakken, er det blevet sagt, at der ikke er observeret nogen ondsindet aktivitet fra de 4500 konti, der var i direkte hit for at blive kompromitteret af den falske version af koden. Mange poletter er stadig tilbagekaldt for at undgå yderligere manipulation med registreringsdatabasen og yderligere spredning af den inficerede eslint-scope-pakke. Brugere er også blevet opfordret til i den officielle erklæring fra CJ Silverio at gøre brug af tofaktorautentificeringen på plads for at forhindre sådanne ondsindede pushouts i fremtiden.
Efter hvert sådant open source-angreb på kode tager udviklerens samfund et skridt tilbage i frygt, men i de forskellige blogindlæg og redaktionelle artikler, der opstår på tech-community-fronten siden det ondsindede angreb, opfordres udviklere til at modige sådanne hændelser ud for at holde fast ved integritet, som open source-biblioteker er oprettet til gavn for alle udviklere. NPM-brugere opfordres til at fortsætte og ære den ånd, som open source-projektet oprindeligt blev etableret med. Hvis brugerne anvender alle de sikkerhedsforanstaltninger givet dem for at beskytte bibliotekerne, får et angreb som dette ikke nogen åbning, der kan forekomme igen.
