మూసివేసిన రిపోజిటరీలలో ప్యాకేజీల ఉనికిని గుర్తించడానికి మిమ్మల్ని అనుమతించే NPMలో ఒక లోపం గుర్తించబడింది. రిపోజిటరీకి యాక్సెస్ లేని మూడవ పక్షం నుండి ఇప్పటికే ఉన్న మరియు ఉనికిలో లేని ప్యాకేజీని అభ్యర్థిస్తున్నప్పుడు వివిధ ప్రతిస్పందన సమయాల కారణంగా సమస్య ఏర్పడింది. ప్రైవేట్ రిపోజిటరీలలో ఏవైనా ప్యాకేజీలకు యాక్సెస్ లేకపోతే, registry.npmjs.org సర్వర్ “404” కోడ్తో లోపాన్ని అందిస్తుంది, అయితే అభ్యర్థించిన పేరుతో ప్యాకేజీ ఉన్నట్లయితే, లోపం గుర్తించదగిన ఆలస్యంతో జారీ చేయబడుతుంది. డిక్షనరీలను ఉపయోగించి ప్యాకేజీ పేర్లను శోధించడం ద్వారా ప్యాకేజీ ఉనికిని గుర్తించడానికి దాడి చేసే వ్యక్తి ఈ లక్షణాన్ని ఉపయోగించవచ్చు.
పబ్లిక్ మరియు అంతర్గత రిపోజిటరీలలో డిపెండెన్సీ పేర్ల ఖండనను మార్చే డిపెండెన్సీ మిక్సింగ్ దాడిని నిర్వహించడానికి ప్రైవేట్ రిపోజిటరీలలో ప్యాకేజీ పేర్లను నిర్ణయించడం అవసరం కావచ్చు. కార్పొరేట్ రిపోజిటరీలలో ఏ అంతర్గత NPM ప్యాకేజీలు ఉన్నాయో తెలుసుకుంటే, దాడి చేసే వ్యక్తి పబ్లిక్ NPM రిపోజిటరీలో అదే పేర్లతో మరియు కొత్త వెర్షన్ నంబర్లతో ప్యాకేజీలను ఉంచవచ్చు. అసెంబ్లీ సమయంలో అంతర్గత లైబ్రరీలు సెట్టింగ్లలో వాటి రిపోజిటరీకి స్పష్టంగా లింక్ చేయబడకపోతే, npm ప్యాకేజీ మేనేజర్ పబ్లిక్ రిపోజిటరీని అధిక ప్రాధాన్యతగా పరిగణిస్తారు మరియు దాడి చేసేవారు తయారుచేసిన ప్యాకేజీని డౌన్లోడ్ చేస్తారు.
GitHub మార్చిలో సమస్య గురించి తెలియజేయబడింది, అయితే నిర్మాణపరమైన పరిమితులను పేర్కొంటూ దాడికి వ్యతిరేకంగా రక్షణను జోడించడానికి నిరాకరించింది. ప్రైవేట్ రిపోజిటరీలను ఉపయోగించే కంపెనీలు పబ్లిక్ రిపోజిటరీలో అతివ్యాప్తి చెందుతున్న పేర్లను క్రమానుగతంగా తనిఖీ చేయాలని లేదా ప్రైవేట్ రిపోజిటరీలలో ప్యాకేజీల పేర్లను పునరావృతం చేసే పేర్లతో వారి తరపున స్టబ్లను సృష్టించాలని సిఫార్సు చేయబడింది, తద్వారా దాడి చేసేవారు తమ ప్యాకేజీలను అతివ్యాప్తి చెందుతున్న పేర్లతో ఉంచలేరు.
మూలం: opennet.ru