Une nouvelle attaque de synchronisation découverte contre l’API de registre de npm peut être exploitée pour divulguer potentiellement des packages privés utilisés par des organisations, exposant les développeurs à des menaces de chaîne d’approvisionnement.
« En créant une liste de noms de packages possibles, les pirates peuvent détecter les organisations » forfaits privés délimités puis déguiser des packages publics, incitant les employés et les utilisateurs à les télécharger », a déclaré le chercheur d’Aqua Security, Yakir Kadkoda. a dit.
L’attaque Scoped Confusion mise sur l’analyse du temps qu’il faut pour API npm (registre.npmjs[.]org) pour renvoyer un message d’erreur HTTP 404 lors de la requête d’un package privé et le mesurer par rapport au temps de réponse d’un module inexistant.
« Il faut en moyenne moins de temps pour obtenir une réponse pour un package privé qui n’existe pas par rapport à un package privé qui existe », a expliqué Kadkoda.
L’idée, en fin de compte, est d’identifier les packages utilisés en interne par les entreprises, qui pourraient ensuite être utilisés par les acteurs de la menace pour créer des versions publiques des mêmes packages dans le but d’empoisonner la chaîne d’approvisionnement des logiciels.
Les dernières découvertes sont également différentes des attaques de confusion de dépendance en ce sens qu’elles obligent l’adversaire à deviner d’abord les packages privés utilisés par une organisation, puis à publier de faux packages portant le même nom sous la portée publique.
Confusion de dépendance (alias confusion d’espace de noms), en revanche, repose sur le fait que les gestionnaires de packages vérifient les registres de code publics pour un package avant les registres privés, ce qui entraîne la récupération d’un package malveillant de version supérieure à partir du référentiel public.
Aqua Security a déclaré avoir divulgué le bogue à GitHub le 8 mars 2022, incitant la filiale appartenant à Microsoft à répondre que l’attaque temporelle ne sera pas corrigée en raison de limitations architecturales.
À titre préventif, il est recommandé aux organisations d’analyser régulièrement npm et d’autres plates-formes de gestion de packages à la recherche de packages similaires ou usurpés qui se font passer pour des homologues internes.
« Si vous ne trouvez pas de packages publics similaires à vos packages internes, envisagez de créer des packages publics en tant qu’espaces réservés pour empêcher de telles attaques », a déclaré Kadkoda.