Компания Aqua Security, занимающаяся безопасностью контейнерных и облачных приложений, предупреждает, что существование приватных пакетов npm может быть раскрыто путем выполнения атак по времени (timing attack).Хакер Online
Обнаружив существование частного пакета, злоумышленник может организовать атаку на цепочку поставок: создать общедоступные пакеты, которые будут выдавать себя за легитимные и приватные, и обманом заставить пользователей загрузить их.Хакер Online
Новая атака, предложенная специалистами, использует API-интерфейс реестра npm и получила имя Scoped Confusion.Хакер Online
«В среднем требуется меньше времени, чтобы получить ответ для приватного пакета, которого не существует, по сравнению с приватным пакетом, который существует», — объясняют эксперты.Хакер Online