Npm’nin kayıt API’sine karşı keşfedilen yeni bir zamanlama saldırısı, kuruluşlar tarafından kullanılan özel paketleri potansiyel olarak ifşa etmek için istismar edilebilir ve geliştiricileri tedarik zinciri tehditleri riskine sokar.
Aqua Security araştırmacısı Yakir Kadkoda, “Tehdit aktörleri, olası paket adlarının bir listesini oluşturarak, kuruluşların kapsamlı özel paketlerini algılayabilir ve ardından kamu paketlerini maskeleyebilir, çalışanları ve kullanıcıları onları indirmeleri için kandırabilir.” Dedi.
Kapsamlı Karışıklık saldırısı, npm API (registry.npmjs) için geçen süreyi analiz etmeye yöneliktir.[.]org) özel bir paketi sorgularken bir HTTP 404 hata mesajı döndürmek ve var olmayan bir modülün yanıt süresine göre bunu ölçmek.
Kadkoda, “Var olmayan özel bir pakete yanıt almak, var olan özel bir pakete kıyasla ortalama olarak daha az zaman alır” dedi.
Sonuçta fikir, şirketler tarafından dahili olarak kullanılan ve daha sonra tehdit aktörleri tarafından yazılım tedarik zincirini zehirlemek amacıyla aynı paketlerin genel sürümlerini oluşturmak için kullanılabilecek paketleri tanımlamaktır.
En son bulgular, saldırganın önce bir kuruluş tarafından kullanılan özel paketleri tahmin etmesini ve ardından aynı adı taşıyan sahte paketleri kamu kapsamında yayınlamasını gerektirmesi bakımından bağımlılık karıştırma saldırılarından da farklıdır.
Bağımlılık karışıklığı (diğer adıyla ad alanı karışıklığı), bunun aksine, paket yöneticilerinin bir paket için genel kod kayıtlarını özel kayıtlardan önce kontrol etmesine ve bunun sonucunda genel depodan kötü amaçlı bir daha yüksek sürüm paketinin alınmasına dayanır.
Aqua Security, hatayı 8 Mart 2022’de GitHub’a açıkladığını ve Microsoft’un sahip olduğu yan kuruluşun mimari sınırlamalar nedeniyle zamanlama saldırısının düzeltilmeyeceğine dair bir yanıt vermesini istediğini söyledi.
Önleyici tedbirler olarak, kuruluşların npm ve diğer paket yönetim platformlarını, dahili eşdeğerler gibi görünen benzer veya sahte paketler için rutin olarak taraması önerilir.
Kadkoda, “Dahili paketlerinize benzer genel paketler bulamazsanız, bu tür saldırıları önlemek için yer tutucu olarak genel paketler oluşturmayı düşünün.” Dedi.