Cacat parantos diidentifikasi dina NPM anu ngamungkinkeun anjeun ngadeteksi ayana bungkusan dina repositori katutup. Masalahna disababkeun ku waktos réspon anu béda nalika nyuhunkeun pakét anu tos aya sareng henteu aya ti pihak katilu anu henteu ngagaduhan aksés kana gudang. Upami teu aya aksés pikeun bungkusan naon waé di gudang pribadi, server registry.npmjs.org ngabalikeun kasalahan sareng kode "404", tapi upami aya pakét sareng nami anu dipénta, kasalahanna dikaluarkeun kalayan reureuh anu nyata. Panyerang tiasa nganggo fitur ieu pikeun nangtukeun ayana pakét ku cara milarian nami pakét nganggo kamus.
Nangtukeun ngaran pakét dina repositori swasta bisa jadi diperlukeun pikeun ngalakukeun serangan campur dependensi nu ngamanipulasi simpang ngaran kagumantungan dina repositories umum jeung internal. Nyaho bungkusan NPM internal mana anu aya dina repositori perusahaan, panyerang tiasa nempatkeun bungkusan anu nami sami sareng nomer versi anu langkung énggal dina gudang NPM umum. Upami nalika ngarakit perpustakaan internal henteu sacara eksplisit dikaitkeun kana gudangna dina setélan, manajer pakét npm bakal nganggap gudang umum janten prioritas anu langkung luhur sareng bakal ngaunduh pakét anu disiapkeun ku panyerang.
GitHub dibéjakeun ngeunaan masalah éta dina bulan Maret tapi nolak pikeun nambihan panyalindungan ngalawan serangan éta, nyatakeun watesan arsitéktur. Perusahaan anu nganggo repositori swasta disarankeun pikeun périodik mariksa penampilan nami anu tumpang tindih dina gudang umum atanapi ngadamel rintisan atas nama aranjeunna kalayan nami anu ngulang nami bungkusan dina repositori swasta, ku kituna panyerang henteu tiasa nempatkeun bungkusanna kalayan nami anu tumpang tindih.
sumber: opennet.ru