NPMda yopiq omborlarda paketlar mavjudligini aniqlash imkonini beruvchi kamchilik aniqlandi. Muammo omborga kirish huquqiga ega bo'lmagan uchinchi tomondan mavjud va mavjud bo'lmagan paketni so'rashda turli xil javob vaqtlari tufayli yuzaga keladi. Agar shaxsiy omborlarda biron bir paketga kirish imkoni bo'lmasa, registry.npmjs.org serveri "404" kodi bilan xatoni qaytaradi, ammo agar so'ralgan nomdagi paket mavjud bo'lsa, xato sezilarli kechikish bilan chiqariladi. Tajovuzkor lug'atlardan foydalanib paket nomlarini qidirish orqali paket mavjudligini aniqlash uchun ushbu xususiyatdan foydalanishi mumkin.
Ommaviy va ichki omborlardagi qaramlik nomlarining kesishishini boshqaradigan qaramlikni aralashtirish hujumini amalga oshirish uchun xususiy omborlarda paket nomlarini aniqlash zarur boβlishi mumkin. Korporativ omborlarda qaysi ichki NPM paketlari mavjudligini bilgan holda, tajovuzkor umumiy NPM omboriga bir xil nomlar va yangiroq versiya raqamlari bilan paketlarni joylashtirishi mumkin. Agar yig'ish paytida ichki kutubxonalar sozlamalarda o'z omborlari bilan aniq bog'lanmagan bo'lsa, npm paket menejeri umumiy omborni ustuvorroq deb hisoblaydi va tajovuzkor tomonidan tayyorlangan paketni yuklab oladi.
GitHub bu muammo haqida mart oyida xabardor qilingan, biroq meΚΌmoriy cheklovlarni hisobga olib, hujumga qarshi himoya qoΚ»shishdan bosh tortgan. Xususiy repozitariylardan foydalanadigan kompaniyalarga vaqti-vaqti bilan umumiy omborda bir-biriga o'xshash nomlar ko'rinishini tekshirish yoki tajovuzkorlar o'z paketlarini bir-biriga mos keladigan nomlar bilan joylashtira olmasligi uchun o'z nomidan shaxsiy omborlardagi paketlar nomlarini takrorlaydigan nomlar bilan stublar yaratish tavsiya etiladi.
Manba: opennet.ru