Что мешает хакеру опубликовать более новую версию пакета в NPM?

Question

Что мешает хакеру клонировать репозиторий NodeJS из github, добавить некоторый вредоносный код, увеличить версию как патч и запустить npm publish?

Не похоже, что документы NPM говорят что-либоо проверке подлинности личности работающего npm publish.

Я клонировал репо и увеличил версию и запустил npm publish --dry-run, и он не жаловался, что не будет публиковать.

Answer 1

NPM ограничивает тех, кто может отправить код в ваш опубликованный пакет, но это не значит, что кто-то не может сделать это без вашего ведома.До сих пор было несколько случаев, когда предположительно использовались украденные учетные данные.

Вы можете поэкспериментировать, создав пакет, а затем попытаться отправить его с другого компьютера без необходимых учетных данных.Вы увидите, какие меры принимаются для предотвращения этого.