ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง แล้วอัพเดตแพ็กเกจที่ฝังมัลแวร์เพื่อแพร่กระจายในวงกว้างอย่างรวดเร็ว (กรณีของ ua-parser-js และ coa)

GitHub ซึ่งปัจจุบันเป็นเจ้าของบริษัท npm Inc. จึงออกมาประกาศมาตรการความปลอดภัยของ npm เพื่อป้องกันปัญหาเหล่านี้ ได้แก่

• บัญชีเจ้าของแพ็กเกจ npm ยอดนิยม จะถูกบังคับล็อกอินแบบ two-factor authentication (2FA) ในไตรมาสแรกของปี 2022
• เพิ่มระบบการมอนิเตอร์แพ็กเกจ npm ที่อัพโหลดใหม่ เพื่อตรวจสอบว่ามีมัลแวร์หรือไม่
• ปิดช่องโหว่ของ npm registry โดย GitHub ระบุว่าเจอช่องโหว่จากการรายงานผ่านช่องทาง bug bounty เมื่อต้นเดือนพฤศจิกายนนี้ และออกแพตช์ปิดช่องโหว่ภายใน 6 ชั่วโมง

ที่มา - GitHub