Dosari imetambuliwa katika NPM ambayo hukuruhusu kugundua uwepo wa vifurushi kwenye hazina zilizofungwa. Suala hilo linasababishwa na nyakati tofauti za majibu wakati wa kuomba kifurushi kilichopo na kisichokuwepo kutoka kwa mtu wa tatu ambaye hana ufikiaji wa hazina. Ikiwa hakuna ufikiaji wa vifurushi vyovyote katika hazina za kibinafsi, seva ya registry.npmjs.org hurejesha hitilafu na msimbo "404", lakini ikiwa kifurushi kilicho na jina lililoombwa kipo, hitilafu hutolewa kwa ucheleweshaji unaoonekana. Mshambulizi anaweza kutumia kipengele hiki ili kubaini uwepo wa kifurushi kwa kutafuta majina ya vifurushi kwa kutumia kamusi.
Kuamua majina ya vifurushi katika hazina za kibinafsi kunaweza kuhitajika kufanya shambulio la kuchanganya utegemezi ambalo linadhibiti makutano ya majina ya utegemezi katika hazina za umma na za ndani. Akijua ni vifurushi vipi vya ndani vya NPM vilivyopo katika hazina za shirika, mshambulizi anaweza kuweka vifurushi vilivyo na majina sawa na nambari za toleo jipya zaidi katika hazina ya umma ya NPM. Ikiwa wakati wa kukusanyika maktaba za ndani hazijaunganishwa kwa uwazi na hazina yao katika mipangilio, msimamizi wa kifurushi cha npm atazingatia hazina ya umma kuwa kipaumbele cha juu na atapakua kifurushi kilichotayarishwa na mshambulizi.
GitHub iliarifiwa juu ya shida mnamo Machi lakini ilikataa kuongeza ulinzi dhidi ya shambulio hilo, akitoa mfano wa mapungufu ya usanifu. Kampuni zinazotumia hazina za kibinafsi zinapendekezwa kuangalia mara kwa mara kuonekana kwa majina yanayoingiliana kwenye hazina ya umma au kuunda vijiti kwa niaba yao na majina ambayo yanarudia majina ya vifurushi kwenye hazina za kibinafsi, ili washambuliaji wasiweze kuweka vifurushi vyao na majina yanayoingiliana.
Chanzo: opennet.ru