Opisyal na Logo ng NPM © NPM
Ang Node Package Manager ( NPM ) ay unang itinatag noong 2009 upang mapadali ang pagbabahagi ng code sa pagitan ng mga developer ng programa ng JavaScript sa malayo at malawak. Ang ideya ay sa halip na makipagkumpitensya upang bumuo ng programa, ang pagbibigay ng bukas na mapagkukunan ng mapagkukunan tulad ng silid-aklatan ng NPM ay maaaring payagan ang pag-unlad sa itaas kung ano ang nabuo upang sa mas dakilang pamamaraan ng mga bagay, ang pag-unlad ng programa ay maaaring umabot sa mga bagong taas. Ang NPM ay ginawang isang kumpanya noong 2014 upang itulak ang parehong paningin, at ang kumpanya ay host ngayon sa isang nakakagulat na pagpapatala ng higit sa 700,000 mga code at mga pakete na maaaring malaya at responsableng magamit upang makabuo ng anumang bagay para sa mga aparato, application, robot, at marami higit pa
Ayon sa NPM CTO Silverio, magdamag sa pagitan ng 11ikaat 12ikang Hulyo, naganap ang isang nakakahamak na pag-atake sa server ng NPM kung saan ang isang hacker ay nagawang makakuha ng access sa account ng isang developer at gamitin ang mga kredensyal ng nag-develop upang palabasin ang isang maling bersyon ng eslint-sakop na silid-aklatan, ang eslint-saklaw na 3.7.2, kung saan ang indibidwal na na-hack ang responsable sa pagpapanatili. Sa kabutihang palad ang bagong aktibidad ng pagbuo ng token ay napansin sa lalong madaling panahon at nagsumikap upang mapigilan at ibalik ang pagbabago. Simula noon, sa isang masinsinang pagsisiyasat ng paglabag, nalaman na ang nakakahamak na code ay binigyan ng kakayahang magtala ng mga kredensyal ng NPM ng iba pang mga developer kapag ginagamit ng kanilang mga programa. Samakatuwid, pinayuhan ang pamayanan ng gumagamit ng bukas na source code na NPM na baguhin ang lahat ng mga kredensyal ng account at paalisin ang partikular na aklatan ng NPM mula sa kanilang mga proyekto kung ito ay ginamit upang magamit.
Sa kabila ng napakalaking bilang ng mga lingguhang pag-download na nagte-trend para sa pakete ng ESLint, sinabi na walang nakakahamak na aktibidad na naobserbahan mula sa 4500 na mga account na direktang na-hit na makompromiso ng faux na bersyon ng code. Maraming mga token pa rin ang naalala upang maiwasan ang karagdagang pakialaman sa pagpapatala at karagdagang pagkalat ng nahawaang eslint-saklaw na pakete. Hinimok din ang mga gumagamit sa opisyal na pahayag mula kay CJ Silverio na gamitin ang dalawang factor na pagpapatotoo sa lugar upang maiwasan ang mga ganitong nakakahamak na pushout na mangyari sa hinaharap.
Matapos ang bawat naturang open source na pag-atake sa code, ang komunidad ng developer ay tumatagal ng isang takot pabalik sa takot ngunit sa iba't ibang mga post sa blog at editoryal na nagmumula sa harap ng tech na komunidad mula pa noong nakakahamak na pag-atake, hinimok ang mga developer na matapang ang gayong mga insidente na humawak nang mahigpit sa integridad kung saan nilikha ang mga open source na aklatan para sa pakinabang ng lahat ng mga developer. Ang mga gumagamit ng NPM ay hinihimok na magpatuloy at igalang ang diwa kung saan ang proyektong open source ay unang itinatag. Kung ginagamit ng mga gumagamit ang lahat ng mga hakbang sa seguridad na ibinigay sa kanila upang mapangalagaan ang mga aklatan, ang isang pag-atake na tulad nito ay hindi bibigyan ng anumang pambungad na maganap muli.
