Un nuevo ataque de tiempo descubierto contra la API de registro de npm puede explotarse para potencialmente revelar paquetes privados utilizados por organizaciones, poniendo a los desarrolladores en riesgo de amenazas en la cadena de suministro.
«Al crear una lista de posibles nombres de paquetes, los actores de amenazas pueden detectar las organizaciones». paquetes privados con alcance y luego enmascaran paquetes públicos, engañando a los empleados y usuarios para que los descarguen», dijo el investigador de Aqua Security, Yakir Kadkoda. dijo.
El ataque de Scoped Confusion se basa en analizar el tiempo que tarda la API de npm (registro.npmjs[.]org) para devolver un mensaje de error HTTP 404 al consultar un paquete privado y compararlo con el tiempo de respuesta de un módulo inexistente.
«En promedio, lleva menos tiempo obtener una respuesta para un paquete privado que no existe en comparación con un paquete privado que sí existe», explicó Kadkoda.
La idea, en última instancia, es identificar los paquetes utilizados internamente por las empresas, que luego podrían ser utilizados por los actores de amenazas para crear versiones públicas de los mismos paquetes en un intento de envenenar la cadena de suministro de software.
Los últimos hallazgos también son diferentes de los ataques de confusión de dependencias en que requieren que el adversario primero adivine los paquetes privados utilizados por una organización y luego publique paquetes falsos con el mismo nombre bajo el alcance público.
Confusión de dependencia (también conocida como confusión de espacio de nombres), por el contrario, se basa en el hecho de que los administradores de paquetes verifican los registros de códigos públicos para un paquete antes que los registros privados, lo que resulta en la recuperación de un paquete malicioso de una versión superior del repositorio público.
Aqua Security dijo que reveló el error a GitHub el 8 de marzo de 2022, lo que llevó a la subsidiaria propiedad de Microsoft a emitir una respuesta de que el ataque de tiempo no se solucionará debido a limitaciones arquitectónicas.
Como medidas preventivas, se recomienda que las organizaciones escaneen rutinariamente npm y otras plataformas de administración de paquetes en busca de paquetes similares o falsificados que se hagan pasar por contrapartes internas.
«Si no encuentra paquetes públicos similares a sus paquetes internos, considere crear paquetes públicos como marcadores de posición para evitar este tipo de ataques», dijo Kadkoda.