NPM-де жабық репозиторийлердегі пакеттердің болуын анықтауға мүмкіндік беретін ақау анықталды. Мәселе репозиторийге рұқсаты жоқ үшінші тараптан бар және жоқ пакетті сұрау кезінде әртүрлі жауап уақыттарынан туындайды. Жеке репозитарийлердегі кез келген пакеттерге кіру мүмкіндігі болмаса, registry.npmjs.org сервері «404» коды бар қатені қайтарады, бірақ сұралған аты бар бума бар болса, қате айтарлықтай кешігумен шығарылады. Шабуыл жасаушы бұл мүмкіндікті сөздіктер арқылы бума атауларын іздеу арқылы буманың бар-жоғын анықтау үшін пайдалана алады.
Жеке репозитарийлердегі бума атауларын анықтау жалпы және ішкі репозитарийлердегі тәуелділік атауларының қиылысуын басқаратын тәуелділікті араластыру шабуылын орындау үшін қажет болуы мүмкін. Корпоративтік репозитарийлерде қандай ішкі NPM бумалары бар екенін біле отырып, шабуылдаушы жалпы NPM репозиторийіне атаулары мен жаңарақ нұсқа нөмірлері бар бумаларды орналастыра алады. Егер құрастыру кезінде ішкі кітапханалар параметрлерде олардың репозиторийімен нақты байланыспаса, npm бума менеджері жалпы репозиторийді жоғарырақ басымдылық деп санайды және шабуылдаушы дайындаған буманы жүктеп алады.
GitHub бұл мәселе туралы наурыз айында хабардар болды, бірақ архитектуралық шектеулерге сілтеме жасап, шабуылдан қорғауды қосудан бас тартты. Жеке репозитарийлерді пайдаланатын компанияларға жалпы репозиторийде қайталанатын атаулардың пайда болуын мезгіл-мезгіл тексеріп тұру ұсынылады немесе зиянкестер өздерінің бумаларын қабаттасатын атаулармен орналастыра алмайтындай етіп, жеке репозитарийлердегі бумалардың атауларын қайталайтын атаулармен өз атынан түтіктер жасау ұсынылады.
Ақпарат көзі: opennet.ru