در سال ۲۰۲۵، npm شاهد افزایش بیسابقهای در تعداد بستههای آلوده در حملات هماهنگ به زنجیره تامین منبع باز جاوااسکریپت بود. این بستهها شامل بدافزارهایی برای سرقت رمزنگاری و سوء استفاده از اعتبارنامهها بودند. در حالی که GitHub تغییراتی را برای مقابله با این حملات اعلام کرد، بسیاری از توسعهدهندگان پاسخ را ناکافی دانستند. این حملات شامل سرقت اعتبارنامههای توسعهدهندگان، افزودن اسکریپتهای مخرب در مراحل preinstall یا postinstall و انتشار بستههای آلوده به عنوان بهروزرسانیهای semver-patch بود. رفتار پیشفرض npm که از محدودههای semver با علامت caret (^) استفاده میکند، به این بستهها اجازه میدهد تا به سرعت نصب شوند، به ویژه در سیستمهای CI که میتوانند به اطلاعات ابری دسترسی پیدا کنند. برای جلوگیری از نصب بستههای آلوده، مصرفکنندگان بستهها باید از فایلهای قفل و نصبهای غیرقابل تغییر استفاده کنند، اما تنظیمات پیشفرض npm هنوز نصب را بیش از حد آسان میکند.
مشاهده مطلب اصلی