Logo Resmi NPM © NPM
Manajer Paket Node ( NPM ) pertama kali didirikan pada tahun 2009 untuk memfasilitasi berbagi kode antara pengembang program JavaScript secara luas. Idenya adalah bahwa alih-alih bersaing untuk membangun program, menyediakan sumber daya sumber terbuka seperti perpustakaan NPM dapat memungkinkan pengembangan di atas apa yang telah dikembangkan sehingga dalam skema yang lebih besar, pengembangan program dapat mencapai ketinggian baru. NPM diubah menjadi perusahaan pada tahun 2014 untuk mendorong visi yang sama, dan perusahaan tersebut sekarang menjadi tuan rumah bagi lebih dari 700.000 kode dan paket yang dapat digunakan secara bebas dan bertanggung jawab untuk mengembangkan apa pun untuk perangkat, aplikasi, robot, dan banyak lagi. lebih.
Menurut NPM CTO Silverio, semalam antara pukul 11thdan 12thJuli, serangan jahat terjadi di server NPM di mana seorang peretas berhasil mendapatkan akses ke akun pengembang dan menggunakan kredensial pengembang untuk merilis versi palsu dari pustaka lingkup eslint, lingkup-eslint 3.7.2, yang mana individu yang diretas bertanggung jawab untuk memelihara. Untungnya, aktivitas pembuatan token baru segera diketahui dan upaya dilakukan untuk membatasi dan mengembalikan perubahan. Sejak itu, secara menyeluruh penyelidikan Dari pelanggaran tersebut, ditemukan bahwa kode berbahaya diberikan kemampuan untuk merekam kredensial NPM dari pengembang lain saat digunakan oleh program mereka. Oleh karena itu, komunitas NPM kode sumber terbuka telah disarankan untuk mengubah semua kredensial akun dan mengeluarkan perpustakaan NPM khusus ini dari proyek mereka jika telah digunakan.
Terlepas dari banyaknya unduhan mingguan yang menjadi tren untuk paket ESLint, dikatakan bahwa tidak ada aktivitas berbahaya yang diamati dari 4.500 akun yang terkena serangan langsung untuk disusupi oleh versi palsu dari kode tersebut. Banyak token yang masih ditarik untuk menghindari gangguan lebih lanjut pada registri dan penyebaran lebih lanjut dari paket cakupan eslint yang terinfeksi. Pengguna juga telah didesak dalam pernyataan resmi dari CJ Silverio untuk menggunakan otentikasi dua faktor untuk mencegah pushout berbahaya seperti itu terjadi di masa depan.
Setelah setiap serangan sumber terbuka pada kode, komunitas pengembang mengambil langkah mundur dalam ketakutan tetapi dalam berbagai posting blog dan editorial yang muncul di bagian depan komunitas teknologi sejak serangan jahat itu, pengembang didesak untuk berani menghadapi insiden seperti itu untuk berpegang teguh pada integritas yang telah dibuat pustaka sumber terbuka untuk kepentingan semua pengembang. Pengguna NPM didorong untuk terus maju dan menghormati semangat proyek open source yang awalnya didirikan. Jika pengguna menggunakan semua file tindakan keamanan diberikan kepada mereka untuk menjaga perpustakaan, serangan seperti ini tidak akan diberikan celah untuk terjadi lagi.
