Npm zavar
Az Aikido Security azt vizsgálja, hogy az npm-csomagkezelő és az npx parancs használata hogyan sodorhatja veszélybe a fejlesztői környezetet az unclaimed csomagnevek miatt. A szerző azt találta, hogy rengeteg olyan parancs szerepel README-kben és build-szkriptekben, például npx openapi-generator-cli vagy npx cucumber-js, amelyek mögött nincs tényleges, lepublikált csomag az npm-regiszterben. Ennek ellenére a fejlesztők és automatizált eszközök ezekre a hívásokra reagálva letöltik ezeket a fantom csomagokat, amik semmit nem tartalmaznak, de később rosszindulatúan regisztrálhatók és felhasználhatók egészen veszélyes módon.
A szerző scriptek segítségével átvizsgálta a teljes npm-regisztert és a GitHub-on levő hivatkozásokat, és 128 olyan csomagnevet talált, amelyet dokumentációkban vagy konfigurációkban hivatkoznak, de soha nem publikáltak. Ezek a fantomcsomagok több mint 121 000 letöltést értek el 2025 júliusa és 2026 januárja között, ami azt jelzi, hogy mind fejlesztői gépeken, mind CI/CD-környezetekben valós megkísérlések történtek rájuk. A három legtöbbet próbált csomag, olyanok, mint az openapi-generator-cli, a cucumber-js és a depcruise, adta a letöltések 79 %-át, miközben valójában nem léteztek az npm-en.
A probléma azért különösen kritikus, mert az npx és hasonló parancsok, például pnpm dlx vagy yarn dlx, automatikusan felajánlják a hiányzó csomag telepítését anélkül, hogy bármilyen hitelesítést vagy csomaggazda-ellenőrzést kérnének. Amikor egy fejlesztő vagy automatizált eszköz megerősíti a telepítést, a rendszer letölti a csomagot, és bármilyen kód végrehajtódhat a célgépen, beleértve környezeti változók vagy hitelesítő tokenek ellopását is. Ez egyfajta supply-chain kockázatot teremt pusztán a név foglalásának elmaradása miatt, mivel egy támadó később regisztrálhatja ezeket a csomagokat és rosszindulatú kódot tehet bele.
