3519 подписчиков

#news Исследователи обнаружили занятную атаку по времени по npm-репозиторию. Она позволяет злоумышленникам определить, существуют ли приватные npm, оценивая время отклика по API-запросам. На несуществующие репозиторий выдаёт 404 в доли секунды, на приватные – на несколько сотен миллисекунд позже. Этого достаточно для обнаружения скрытых пакетов.

В дальнейшем полученная инфа может быть использована для создания клонов и тайпсквот-копий приватных npm и в итоге – атак на цепочку поставок. Между тем Гитхаб сообщил, что из-за архитектурных ограничений решить проблему таких атак они не могут. Так что предотвращать их разработчикам, как обычно, предлагают самостоятельно.

@tomhunter

#news Исследователи обнаружили занятную атаку по времени по npm-репозиторию. Она позволяет злоумышленникам определить, существуют ли приватные npm, оценивая время отклика по API-запросам.

Около минуты

14 октября 2022