Адміністрація платформи GitHub оголосила про повну заборону автоматичного запуска сценаріїв життєвого циклу під час виконання команди інсталяції пакетів. Крок покликаний ліквідувати вразливість ланцюжка постачання програмного забезпечення. Досі під час завантаження сторонньої бібліотеки автоматично виконувалися приховані інструкції розробника, що дозволяло зловмисникам непомітно зчитувати ключі доступу до хмар та SSH-паролі з комп’ютерів програмістів.

Офіційну заяву опубліковано після масштабної хвилі атак тайпосквотингу – реєстрації шкідливих пакетів із назвами, схожими на популярні бібліотеки, що скомпрометували сотні робочих станцій. GitHub повністю переходить на модель явного підтвердження дії: розробникам доведеться вручну вказувати прапорці безпеки для пакетів, які потребують запуску скриптів. Зміна стане обов’язковою в наступному релізі npm.