Npm’nin kayıt API’sine karşı keşfedilen yeni bir zamanlama saldırısı, kuruluşlar tarafından kullanılan özel paketleri potansiyel olarak ifşa etmek için istismar edilebilir ve geliştiricileri tedarik zinciri tehditleri riskine sokar.
“Olası paket adlarının bir listesini oluşturarak, tehdit aktörleri kuruluşların kapsamlı özel paketler ve ardından kamuya açık paketleri maskeleyerek çalışanları ve kullanıcıları onları indirmeleri için kandırıyor.” Aqua Security araştırmacısı Yakir Kadkoda söz konusu.
Kapsamlı Karışıklık saldırısı, bunun için geçen süreyi analiz etmeye yarar. npm API’si (registry.npmjs[.]org) özel bir paketi sorgularken bir HTTP 404 hata mesajı döndürmek ve var olmayan bir modülün yanıt süresine göre bunu ölçmek.
Kadkoda, “Var olmayan özel bir pakete yanıt almak, var olan özel bir pakete kıyasla ortalama olarak daha az zaman alır” dedi.
Sonuçta fikir, şirketler tarafından dahili olarak kullanılan ve daha sonra tehdit aktörleri tarafından yazılım tedarik zincirini zehirlemek amacıyla aynı paketlerin genel sürümlerini oluşturmak için kullanılabilecek paketleri tanımlamaktır.
En son bulgular, saldırganın önce bir kuruluş tarafından kullanılan özel paketleri tahmin etmesini ve ardından aynı adı taşıyan sahte paketleri kamu kapsamında yayınlamasını gerektirmesi bakımından bağımlılık karıştırma saldırılarından da farklıdır.
Bağımlılık karışıklığı (aka ad alanı karışıklığı), aksine, paket yöneticilerinin özel kayıtlardan önce bir paket için genel kod kayıtlarını kontrol etmesine ve bunun sonucunda genel depodan kötü amaçlı bir daha yüksek sürüm paketinin alınmasına dayanır.
Aqua Security, hatayı 8 Mart 2022’de GitHub’a açıkladığını ve Microsoft’un sahip olduğu yan kuruluşun mimari sınırlamalar nedeniyle zamanlama saldırısının düzeltilmeyeceğine dair bir yanıt vermesini istediğini söyledi.
Önleyici tedbirler olarak, kuruluşların npm ve diğer paket yönetim platformlarını, dahili eşdeğerler gibi görünen benzer veya sahte paketler için rutin olarak taraması önerilir.
Kadkoda, “Dahili paketlerinize benzer genel paketler bulamazsanız, bu tür saldırıları önlemek için yer tutucu olarak genel paketler oluşturmayı düşünün.” Dedi.