Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs.org возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям.
Определение имён пакетов в закрытых репозиториях может потребоваться для совершения атаки через смешивание зависимостей, манипулирующей пересечением имён зависимостей в публичных и внутренних репозиториях. Зная, какие внутренние NPM-пакеты присутствуют в корпоративных репозиториях, атакующий может разместить пакеты с теми же именами и более новыми номерами версий в публичном репозитории NPM. Если при сборке внутренние библиотеки явно не привязаны в настройках к своему репозиторию, пакетный менеджер npm посчитает более приоритетным публичный репозиторий и загрузит подготовленный атакующим пакет.
GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки, сославшись на архитектурные ограничения. Компаниям, использующим приватные репозитории, рекомендовано периодически проверять появление пересекающихся имён в публичном репозитории или
создать от своего имени заглушки с именами, повторяющими имена пакетов в приватных репозиториях, чтобы злоумышленники не могли разместить свои пакеты с пересекающимися именами.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.aquasec.com/priva...)
- OpenNews: В NPM планируют использовать Sigstore для подтверждения подлинности пакетов
- OpenNews: Выпуск пакетного менеджера NPM 8.15 с поддержкой локальной проверки целостности пакетов
- OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
- OpenNews: Атака на немецкие компании через NPM-пакеты
- OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
Похожие новости:
- В NPM планируют использовать Sigstore для подтверждения подлинности пакетов
- Выпуск пакетного менеджера NPM 8.15 с поддержкой локальной проверки целостности пакетов
- В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов
- GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
- Атака на немецкие компании через NPM-пакеты
- Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
- В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Белоруссии
- В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов
- Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах
- Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах
Теги для поиска: #_npm
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 04-Дек 13:34
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs.org возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям. Определение имён пакетов в закрытых репозиториях может потребоваться для совершения атаки через смешивание зависимостей, манипулирующей пересечением имён зависимостей в публичных и внутренних репозиториях. Зная, какие внутренние NPM-пакеты присутствуют в корпоративных репозиториях, атакующий может разместить пакеты с теми же именами и более новыми номерами версий в публичном репозитории NPM. Если при сборке внутренние библиотеки явно не привязаны в настройках к своему репозиторию, пакетный менеджер npm посчитает более приоритетным публичный репозиторий и загрузит подготовленный атакующим пакет. GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки, сославшись на архитектурные ограничения. Компаниям, использующим приватные репозитории, рекомендовано периодически проверять появление пересекающихся имён в публичном репозитории или создать от своего имени заглушки с именами, повторяющими имена пакетов в приватных репозиториях, чтобы злоумышленники не могли разместить свои пакеты с пересекающимися именами. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 04-Дек 13:34
Часовой пояс: UTC + 5