One npm Account Publishes 964 Million Downloads Per Week. None Have Provenance.

한 npm 계정이 주당 9억 6400만 다운로드를 기록하며 출처가 없는 패키지를 배포하고 있다.

npm 계정 'ai'는 총 7개의 패키지를 배포하며, 이 패키지들은 주당 9억 6400만 번 설치된다. 이들 패키지에는 npm 출처 증명이 존재하지 않아, 신뢰할 수 있는 소스인지 구별할 방법이 없다. 출처가 없는 경우 악의적인 공격에 취약해진다. 예를 들어 axios와 LiteLLM은 도난당한 npm 토큰을 통해 공격을 받았다.

One npm account publishes 964 million downloads per week with packages lacking provenance.

The npm account 'ai' publishes seven packages that are installed 964 million times per week, but none have npm provenance attestations. This lack of provenance makes it impossible to distinguish between legitimate releases and those pushed by stolen tokens. Consequently, it exposes the ecosystem to significant security risks, as seen in past incidents involving axios and LiteLLM, both of which suffered attacks via stolen tokens.