Wieħed mill-iżviluppaturi tal-pakketti JavaScript esperimenta bil-ħolqien u t-tqegħid fir-repożitorju tal-NPM il-pakkett "kollox", li jkopri l-pakketti eżistenti kollha fir-repożitorju b'dipendenzi. Biex timplimenta din il-karatteristika, il-pakkett "kollox" għandu dipendenzi diretti b'ħames pakketti "@everything-registry/chunk-N", li min-naħa tagħhom għandhom dipendenzi fuq aktar minn 3000 pakkett "sub-chunk-N", li kull wieħed minnhom jorbot ma' 800 pakkett eżistenti fir-repożitorju.
It-tqegħid ta '"kollox" fl-NPM kellu żewġ effetti interessanti. L-ewwelnett, il-pakkett "kollox" sar tip ta 'għodda biex jitwettqu attakki DoS, peress li tentattiv biex jiġi installat iwassal biex jitniżżlu miljuni ta' pakketti ospitati f'NPM u jeżawrixxi l-ispazju tad-diska disponibbli jew iwaqqaf l-eżekuzzjoni tal-proċessi tal-bini. Skont l-istatistika tal-NPM, il-pakkett ġie mniżżel madwar 250 darba, iżda ħadd ma jolqot li jżidu bħala dipendenza ma 'pakkett ieħor wara li l-kont tal-iżviluppatur ġie hacked biex jikkommetti sabotaġġ. Barra minn hekk, xi servizzi u għodod li jimmonitorjaw u jiċċekkjaw pakketti ġodda ospitati minn NPM kienu esposti għal attakk bla ma riedu.
It-tieni nett, il-pubblikazzjoni tal-pakkett "kollox" b'mod effettiv imblukkat il-kapaċità li jitneħħew kwalunkwe pakketti fl-NPM li spiċċaw fil-lista tad-dipendenzi tiegħu. Pakkett minn NPM jista 'jitneħħa mill-awtur biss jekk ma jkunx diġà użat fid-dipendenzi ta' pakketti oħra, iżda wara l-pubblikazzjoni ta '"kollox" id-dipendenzi rriżultaw li jkopru l-pakketti kollha fir-repożitorju. Ta 'min jinnota li t-tneħħija tal-pakkett "kollox" innifsu ġiet imblukkata wkoll, peress li 9 snin ilu pakkett tat-test "kollox-ieħor" ġie stazzjonat fir-repożitorju, li kien jinkludi s-sekwenza "kollox" fil-lista tad-dipendenzi. Għalhekk, wara l-pubblikazzjoni, il-pakkett “kollox” spiċċa dipendenti fuq pakkett ieħor.
Sors: opennet.ru