Npm

npm
Description de l'image Npm-logo.svg.

Informations
Créateur Isaac Z. Schlueter (d)Voir et modifier les données sur Wikidata
Développé par Isaac Z. Schlueter
Première version 0.0.1[1]
Dernière version 9.2.0 ()
Dépôt github.com/npm/cliVoir et modifier les données sur Wikidata
Écrit en JavaScript
Système d'exploitation MultiplateformeVoir et modifier les données sur Wikidata
Type Application-level package manager (d)
Bibliothèque JavaScriptVoir et modifier les données sur Wikidata
Licence Artistic License 2.0Voir et modifier les données sur Wikidata
Site web www.npmjs.comVoir et modifier les données sur Wikidata

npm est le gestionnaire de paquets par défaut pour l'environnement d'exécution JavaScript Node.js.

npm se compose d'un client en ligne de commande, également appelé npm, et d'une base de données en ligne de paquets publics et privés payants, appelée le registre npm. Le registre est accessible via le client, et les paquets disponibles peuvent être parcourus et recherchés via le site Web de npm. Le gestionnaire de paquets et le registre sont gérés par npm, Inc.

Depuis la version 0.6.3 de Node.js, npm fait partie de l'environnement et est donc automatiquement installé par défaut[2]. npm fonctionne avec un terminal et gère les dépendances pour une application. Il permet également d'installer des applications Node.js disponibles sur le dépôt npm. En avril 2020, GitHub annonce l'acquisition de npm[3].

Histoire

npm est entièrement écrit en JavaScript et a été développé par Isaac Z. Schlueter en s'inspirant d'autres projets similaires tels que PEAR (PHP) et CPAN (Perl)[4].

Anecdotes

En 2016, Azer Koçulu a retiré son paquet très utilisé left-pad du registre npm, ce qui a eu un impact significatif sur de nombreux projets dépendant de ce paquet[5]. À la suite de cet événement, npm Inc. a modifié sa politique permettant aux développeurs de retirer leurs paquets s'ils ont moins de 24 heures. Pour les paquets plus anciens, des étapes spécifiques doivent être suivies impliquant le personnel de support de l'entreprise[6].

Un exemple notable d'un paquet NPM légitime qui a été compromis est celui de event-stream. En 2018, un attaquant a réussi à injecter du code malveillant dans ce paquet populaire en prenant le contrôle d'un des dépôts GitHub du projet. Cela a permis à l'attaquant de déployer une version malveillante de event-stream qui contenait un logiciel de minage de cryptomonnaie. Cette attaque a affecté de nombreux utilisateurs qui ont téléchargé la version compromise du paquet, mettant en évidence les risques liés à la confiance accordée aux dépendances tierces dans le développement logiciel[7],[8].

Fin 2021, la bibliothèque NPM populaire coa a été détournée pour intégrer un code malveillant destiné à voler les mots de passe des utilisateurs[9].

En janvier 2022, le mainteneur de deux paquets populaires, colors et faker, a poussé des modifications corrompant ses propres fichiers de manière délibérée, ce qui a provoqué des impressions de texte inutile dans une boucle infinie[10],[11],[12].

En mars 2022, le paquet node-ipc, téléchargé plus d'un million de fois par semaine, a commencé à effacer les machines de développeurs russes et biélorusses présumés, en protestation contre l'invasion de l'Ukraine par la Russie[13]. De la même manière, Event-source-polyfill, es5-ext, et styled-components, ont été transformés en protestware, affichant des messages pacifiques ou redirigeant les utilisateurs vers des sources d'informations sur la guerre en Ukraine[5].

Le paquet NPM e2eakarev a été publié comme un "paquet de protestation pour la Palestine", affichant un message en anglais appelant à la paix si le paquet est lancé en Israël. Ce paquet, bien qu'il ne soit pas malveillant, illustre le risque que des fonctionnalités non intentionnelles ou malveillantes passent inaperçues dans des applications largement utilisées[14].

Fin 2023, des chercheurs en cybersécurité ont identifié une vague de paquets NPM malveillants visant à exfiltrer des configurations Kubernetes et des clés SSH vers un serveur distant. Plusieurs paquets, initialement légitimes, comme hardhat-gas-report, sont devenus malveillants après des mises à jour, indiquant un vol ciblé de clés privées Ethereum. Un autre paquet, gcc-patch, prétendait être un compilateur GCC mais contenait un mineur de cryptomonnaie[15].

Nom

Contrairement à la croyance populaire, npm n'est pas en fait un sigle pour "Node Package Manager". Le précurseur de npm était un utilitaire bash nommé «pm», qui était le nom abrégé de «pkgmakeinst» , une fonction bash qui installait diverses choses sur diverses plateformes. Si npm devait un jour être considéré comme un sigle, ce serait comme «node pm» ou, potentiellement, «new pm»[16].

D'après l'auteur, npm n'est pas le sigle de « Node Package Manager ». Comme il le dit en plaisantant :

« Contrairement à la croyance de beaucoup, « npm » n'est en fait pas l'acronyme de « Node Package Manager ». Il s'agit d'un rétroacronyme signifiant « npm is not an acronym » (« npm n'est pas un acronyme ») (si le nom avait été ninaa, ç'aurait été un acronyme, et donc nommé de manière incorrecte)[17]. »

Il précise par la suite :

« Donc, plus sérieusement, le projet « npm » est nommé d'après son utilitaire en ligne de commande, lui-même ainsi nommé pour être facilement écrit par un programmeur droitier sur un clavier US QWERTY, finissant avec l'annulaire droit en position pour taper la touche - pour les flags et autres arguments en ligne de commande. Cet utilitaire s'écrit toujours en bas de casse, même s'il est en tête de la plupart des phrases dans lesquelles il intervient[17]. »

Toutefois, le fichier README.md inclus dans la toute première version de npm (npm-0.0.1.zip[18]) indique clairement : « The Node Package Manager ».

Syntaxe

Par exemple pour une installation en environnement de développement intégré uniquement :

npm install mon_package --save-dev

Références

  1. « v0.0.1 », sur GitHub
  2. https://raw.github.com/joyent/node/v0.6.3/ChangeLog
  3. (en-US) « npm is joining GitHub », sur The GitHub Blog, (consulté le )
  4. (en) « Breaking the CommonJS standardization impasse · Issue #5132 · nodejs/node-v0.x-archive », sur GitHub (consulté le )
  5. a et b (en-US) « Third npm protestware: 'event-source-polyfill' calls Russia out », sur BleepingComputer (consulté le )
  6. (en-US) By David Ramel et 2016 March 30, « After npm JavaScript Package Fiasco, Firm Changes Policy, Says 'We're Sorry' - », sur ADTmag (consulté le )
  7. « npm Blog Archive: Details about the event-stream incident », sur blog.npmjs.org (consulté le )
  8. (en-US) Lucian Constantin, « Attackers Up Their Game with Latest npm Package Compromise », sur The New Stack, (consulté le )
  9. « La bibliothèque npm populaire », Developpez.com,‎ (lire en ligne, consulté le )
  10. (en-US) « Dev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps », sur BleepingComputer (consulté le )
  11. (en) Vish Gain, « Open source developer corrupts his own files, impacting millions », sur Silicon Republic, (consulté le )
  12. (en-US) Dan Goodin, « Developer sabotages his own apps, then claims Aaron Swartz was murdered », sur Ars Technica, (consulté le )
  13. (en-US) Ax Sharma, « Protestware on the rise: Why developers are sabotaging their own code », sur TechCrunch, (consulté le )
  14. (en) Paul Roberts, « Protestware taps npm to call out wars in Ukraine, Gaza », sur ReversingLabs, (consulté le )
  15. (en) « Fresh Wave of Malicious npm Packages Threaten Kubernetes Configs and SSH Keys », sur The Hacker News (consulté le )
  16. npm - a JavaScript package manager, npm, (lire en ligne)
  17. a et b « Program analysis platform. Contribute to google/shipshape development by creating an account on GitHub », sur GitHub,
  18. « npm/npm », sur GitHub (consulté le )

Liens externes