NPM இல் ஒரு குறைபாடு அடையாளம் காணப்பட்டுள்ளது, இது மூடிய களஞ்சியங்களில் தொகுப்புகள் இருப்பதைக் கண்டறிய உங்களை அனுமதிக்கிறது. களஞ்சியத்திற்கான அணுகல் இல்லாத மூன்றாம் தரப்பினரிடமிருந்து ஏற்கனவே உள்ள மற்றும் இல்லாத தொகுப்பைக் கோரும் போது வெவ்வேறு பதில் நேரங்களால் சிக்கல் ஏற்படுகிறது. தனியார் களஞ்சியங்களில் எந்த தொகுப்புகளுக்கும் அணுகல் இல்லை என்றால், registry.npmjs.org சேவையகம் "404" குறியீட்டைக் கொண்டு பிழையை வழங்குகிறது, ஆனால் கோரப்பட்ட பெயருடன் ஒரு தொகுப்பு இருந்தால், பிழையானது குறிப்பிடத்தக்க தாமதத்துடன் வழங்கப்படும். அகராதிகளைப் பயன்படுத்தி தொகுப்புப் பெயர்களைத் தேடுவதன் மூலம் ஒரு தொகுப்பின் இருப்பைத் தீர்மானிக்க தாக்குபவர் இந்த அம்சத்தைப் பயன்படுத்தலாம்.
பொது மற்றும் உள் களஞ்சியங்களில் சார்பு பெயர்களின் குறுக்குவெட்டைக் கையாளும் சார்பு கலவை தாக்குதலைச் செய்ய தனியார் களஞ்சியங்களில் தொகுப்பு பெயர்களைத் தீர்மானிப்பது அவசியமாக இருக்கலாம். கார்ப்பரேட் களஞ்சியங்களில் எந்த உள் NPM தொகுப்புகள் உள்ளன என்பதை அறிந்தால், தாக்குபவர் பொது NPM களஞ்சியத்தில் அதே பெயர்கள் மற்றும் புதிய பதிப்பு எண்களைக் கொண்ட தொகுப்புகளை வைக்கலாம். அசெம்பிளி செய்யும் போது உள்ளக நூலகங்கள் அமைப்புகளில் அவற்றின் களஞ்சியத்துடன் வெளிப்படையாக இணைக்கப்படவில்லை என்றால், npm தொகுப்பு மேலாளர் பொது களஞ்சியத்தை அதிக முன்னுரிமையாகக் கருதி, தாக்குபவர் தயாரித்த தொகுப்பைப் பதிவிறக்குவார்.
மார்ச் மாதத்தில் GitHub க்கு இந்த பிரச்சனை பற்றி அறிவிக்கப்பட்டது ஆனால் கட்டிடக்கலை வரம்புகளை காரணம் காட்டி தாக்குதலுக்கு எதிராக பாதுகாப்பை சேர்க்க மறுத்தது. தனியார் களஞ்சியங்களைப் பயன்படுத்தும் நிறுவனங்கள், பொது களஞ்சியத்தில் ஒன்றுடன் ஒன்று பெயர்கள் தோன்றுகிறதா என்பதை அவ்வப்போது சரிபார்க்க பரிந்துரைக்கப்படுகிறது அல்லது தனிப்பட்ட களஞ்சியங்களில் உள்ள தொகுப்புகளின் பெயர்களை மீண்டும் மீண்டும் செய்யும் பெயர்களுடன் ஸ்டப்களை உருவாக்க பரிந்துரைக்கப்படுகிறது, இதனால் தாக்குபவர்கள் தங்கள் தொகுப்புகளை ஒன்றுடன் ஒன்று பெயர்களுடன் வைக்க முடியாது.
ஆதாரம்: opennet.ru