Cacat wis diidentifikasi ing NPM sing ngidini sampeyan ndeteksi anane paket ing repositori sing ditutup. Masalah kasebut disebabake dening wektu respon sing beda nalika njaluk paket sing wis ana lan ora ana saka pihak katelu sing ora duwe akses menyang repositori. Yen ora ana akses kanggo paket apa wae ing repositori pribadi, server registry.npmjs.org ngasilake kesalahan kanthi kode "404", nanging yen ana paket kanthi jeneng sing dijaluk, kesalahan kasebut ditanggepi kanthi wektu tundha. Penyerang bisa nggunakake fitur iki kanggo nemtokake anane paket kanthi nggoleki jeneng paket nggunakake kamus.
Nemtokake jeneng paket ing repositori pribadi bisa uga dibutuhake kanggo nindakake serangan campuran dependensi sing manipulasi persimpangan jeneng dependensi ing repositori umum lan internal. Ngerti paket NPM internal sing ana ing repositori perusahaan, penyerang bisa nyelehake paket kanthi jeneng sing padha lan nomer versi sing luwih anyar ing repositori NPM umum. Yen sajrone ngumpulake perpustakaan internal ora disambungake kanthi jelas menyang repositori ing setelan kasebut, manajer paket npm bakal nganggep repositori umum dadi prioritas sing luwih dhuwur lan bakal ndownload paket sing disiapake dening panyerang.
GitHub diwenehi kabar babagan masalah kasebut ing wulan Maret nanging nolak kanggo nambah perlindungan marang serangan kasebut, kanthi nyebutake watesan arsitektur. Perusahaan sing nggunakake repositori pribadi disaranake mriksa kanthi periodik manawa ana jeneng tumpang tindih ing gudang umum utawa nggawe rintisan kanggo jenenge kanthi jeneng sing mbaleni jeneng paket ing repositori pribadi, supaya panyerang ora bisa nyelehake paket kasebut kanthi jeneng sing tumpang tindih.
Source: opennet.ru