针对NPM注册表API的新定时攻击可能会暴露私有包

针对npm注册表API发现的一种新的定时攻击可以被利用，从而潜在地泄露组织使用的私有包，使开发人员面临供应链威胁的风险。

Aqua Security研究员雅基尔·卡德科达表示：“通过创建一个可能的软件包名称列表，威胁行为体可以检测到组织范围内的私有软件包，然后伪装成公共软件包，诱骗员工和用户下载这些软件包”。

Scoped Confusion攻击的重点是分析npm API（registry.npmjs[.]org）在查询私有包时返回HTTP 404错误消息所需的时间，并将其与不存在的模块的响应时间进行比较。

Kadkoda解释道：“与不存在的私有包相比，不存在的私人包平均需要更少的时间来获得回复”。

最终，这个想法是识别公司内部使用的软件包，然后威胁行为体可以使用这些软件包创建相同软件包的公共版本，试图毒害软件供应链。

最新发现还与依赖混淆攻击不同，因为它要求对手首先猜测组织使用的私有包，然后在公共范围内发布同名的假包。

相反，依赖性混淆（又名命名空间混淆）依赖于这样一个事实，即包管理器在私有注册之前先检查公共代码注册处的包，从而导致从公共存储库中检索恶意的更高版本包。

Aqua Security表示，它于2022年3月8日向GitHub披露了该漏洞，促使微软旗下的子公司发布回应称，由于架构限制，定时攻击不会被修复。

作为预防措施，建议组织定期扫描npm和其他软件包管理平台，寻找伪装成内部对应软件包的类似或冒充软件包。

Kadkoda说：“如果你没有发现与内部包类似的公共包，可以考虑创建公共包作为占位符，以防止此类攻击”。