NPM ۾ هڪ نقص جي نشاندهي ڪئي وئي آهي جيڪا توهان کي بند ٿيل ذخيرو ۾ پيڪيجز جي موجودگي کي ڳولڻ جي اجازت ڏئي ٿي. مسئلو مختلف جوابي وقتن جي ڪري پيدا ٿئي ٿو جڏهن ٽين ڌر کان موجوده ۽ غير موجود پئڪيج جي درخواست ڪئي وڃي جنهن وٽ مخزن تائين رسائي ناهي. جيڪڏهن پرائيويٽ ريپوزٽريز ۾ ڪنهن به پيڪيجز تائين رسائي نه آهي، registry.npmjs.org سرور ڪوڊ "404" سان هڪ غلطي موٽائي ٿو، پر جيڪڏهن گهربل نالي سان هڪ پيڪيج موجود آهي، غلطي هڪ قابل ذڪر دير سان جاري ڪئي وئي آهي. هڪ حملو ڪندڙ هن خصوصيت کي استعمال ڪري سگهي ٿو پيڪيج جي موجودگي کي طئي ڪرڻ لاءِ ڊڪشنري استعمال ڪندي پيڪيج جا نالا ڳولهي.
پرائيويٽ ريپوزٽريز ۾ پئڪيج جا نالا طئي ڪرڻ ضروري ٿي سگھي ٿو انحصار جي ميلاپ واري حملي کي انجام ڏيڻ لاءِ جيڪو عوامي ۽ اندروني ذخيرو ۾ انحصار جي نالن جي چونڪ کي ترتيب ڏئي ٿو. اهو ڄاڻڻ ته ڪهڙا اندروني NPM پيڪيجز ڪارپوريٽ ريپوزٽريز ۾ موجود آهن، هڪ حملو ڪندڙ پيڪيجز رکي سگهي ٿو ساڳين نالن سان ۽ نوان ورزن نمبرن سان عوامي NPM مخزن ۾. جيڪڏهن اسيمبليءَ دوران اندروني لائبريريون واضح طور تي سيٽنگن ۾ انهن جي مخزن سان ڳنڍيل نه هونديون آهن، npm پيڪيج مئنيجر عوامي ذخيري کي اعليٰ ترجيح سمجهندو ۽ حملو ڪندڙ طرفان تيار ڪيل پيڪيج ڊائون لوڊ ڪندو.
GitHub مارچ ۾ مسئلي جو اطلاع ڏنو ويو پر حملي جي خلاف تحفظ شامل ڪرڻ کان انڪار ڪيو، تعميراتي حدن جو حوالو ڏنو. پرائيويٽ ريپوزٽريز استعمال ڪندڙ ڪمپنين کي صلاح ڏني وئي آهي ته اهي وقتي طور تي پبلڪ ريپوزٽريز ۾ اوورليپنگ نالن جي ظاهري جانچ ڪن يا انهن جي طرفان نالن سان اسٽبس ٺاهين جيڪي پرائيويٽ ريپوزٽريز ۾ پيڪيجز جا نالا ورجائيندا آهن، ته جيئن حملو ڪندڙ پنهنجا پيڪيجز اوورليپنگ نالن سان نه رکي سگهن.
جو ذريعو: opennet.ru