Npm står för Node packet manager och är ett företag som driver den i särklass största av många paket- och bibliotek-hanterare för Javascript. Npm är även en portal som samlar alla paket och bibliotek i en och samma repo, samt en samling verktyg för att importera javascript-paket. Men npm är även den största paket-repon alla kategorier med över 350 000 paket i sin samling, skriver ZDNet.

Säkerhetsteamet på npm går nu ut med en varning för att väldigt få, bara drygt nio procent, av alla ansvariga för respektive paket använder tvåfaktorautentisering för att skydda sina konton, vilket är en osedvanligt låg siffra. Detta gör npm till den främsta måltavlan för så kallade leveranskedjeattacker vilka går ut på att angripare manipulerar källkod för att till exempel bygga in bakdörrar. Denna typ av attacker har skett flera gånger de senaste två åren, och befaras öka.

Samtidigt visar analyser från förra året att de flesta npm-paket är sammanflätade med varandra och att det skulle räcka med att kompromettera 20 högprofilerade konton för att bereda möjlighet att infektera paket som används av hälften av hela ekosystemet kring npm.

Attacker mot leveranskedjan av kod har fått fler än npm att reagera. Se sent som förra månaden gick Mozilla ut med att alla, med början denna månad, som utvecklar tillägg till Firefox måste använda tvåfaktorautentisering för sina utvecklarkonton om de vill kunna uppdatera sina tillägg framöver.

Läs också:
Skydda din kod – Supply chain-attacker mot öppen källkod ökar
Avast antivirus hackat – användarna uppmanas uppdatera