Galli hefur fundist í NPM sem gerir þér kleift að greina tilvist pakka í lokuðum geymslum. Vandamálið stafar af mismunandi viðbragðstíma þegar beðið er um núverandi pakka og pakka sem ekki er til frá þriðja aðila sem hefur ekki aðgang að geymslunni. Ef það er enginn aðgangur fyrir neina pakka í einkageymslum, skilar registry.npmjs.org þjóninum villu með kóðanum „404“, en ef pakki með umbeðnu nafni er til er villa gefin út með áberandi töf. Árásarmaður getur notað þennan eiginleika til að ákvarða tilvist pakka með því að leita í pakkanöfnum með því að nota orðabækur.
Að ákvarða pakkanöfn í einkageymslum gæti verið nauðsynlegt til að framkvæma árás á ósjálfstæðisblöndun sem vinnur á skurðpunkti ósjálfstæðisheita í opinberum og innri geymslum. Með því að vita hvaða innri NPM pakkar eru til staðar í fyrirtækjageymslum getur árásarmaður sett pakka með sömu nöfnum og nýrri útgáfunúmerum í opinberu NPM geymsluna. Ef innri bókasöfnin eru ekki beinlínis tengd við geymslu þeirra í stillingunum meðan á samsetningu stendur, mun npm pakkastjórinn líta á opinbera geymsluna sem hærri forgang og mun hlaða niður pakkanum sem árásarmaðurinn útbjó.
GitHub var tilkynnt um vandamálið í mars en neitaði að bæta við vörn gegn árásinni, með vísan til byggingarlistartakmarkana. Mælt er með fyrirtækjum sem nota einkageymsla að athuga reglulega hvort nöfn skarast í opinberu geymslunni eða búa til stubba fyrir þeirra hönd með nöfnum sem endurtaka nöfn pakka í einkageymslum, svo að árásarmenn geti ekki sett pakka sína með skarast nöfn.
Heimild: opennet.ru