В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57918

• Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 12:24 , 14-Окт-22
• Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 12:26 , 14-Окт-22
  • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 18:40 , 14-Окт-22
  • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 01:51 , 15-Окт-22
• Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 12:28 , 14-Окт-22
  • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 13:40 , 14-Окт-22
    • Атака на NPM, позволяющая определить наличие пакетов в прива...,Адмирал Майкл Роджерс, 16:40 , 14-Окт-22
    • Атака на NPM, позволяющая определить наличие пакетов в прива...,Бывалый смузихлёб, 17:29 , 14-Окт-22
      • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 17:32 , 14-Окт-22
        • Атака на NPM, позволяющая определить наличие пакетов в прива...,Бывалый смузихлёб, 08:18 , 15-Окт-22
          • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 05:32 , 18-Окт-22
• Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 12:39 , 14-Окт-22
  • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 12:42 , 14-Окт-22
    • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 12:44 , 14-Окт-22
      • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 18:29 , 14-Окт-22
        • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 20:04 , 14-Окт-22
  • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 13:43 , 14-Окт-22
    • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 20:02 , 14-Окт-22
  • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 10:43 , 15-Окт-22
• Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 13:38 , 14-Окт-22
• Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 14:16 , 14-Окт-22
  • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 14:52 , 14-Окт-22
• Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 16:57 , 14-Окт-22
  • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 17:34 , 14-Окт-22
• Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 18:04 , 14-Окт-22
• Атака на NPM, позволяющая определить наличие пакетов в прива...,AKTEON, 18:11 , 14-Окт-22
• Атака на NPM, позволяющая определить наличие пакетов в прива...,Igraine, 19:27 , 14-Окт-22
  • Атака на NPM, позволяющая определить наличие пакетов в прива...,pashev.ru, 19:38 , 14-Окт-22
    • Атака на NPM, позволяющая определить наличие пакетов в прива...,Аноним, 21:15 , 14-Окт-22
• Атака на NPM, позволяющая определить наличие пакетов в прива...,darkshvein, 23:33 , 14-Окт-22

Осталось узнать как техникой перебора узнать какие пакеты есть в приватном репозитории.

> сервер возвращает ошибку с кодом "404"

Автор, какой сервер? Этих npm-серверов...

Не знаю.

https://registry.npmjs.org/

Скопировал из первой ссылки в новости, хотя это и так было очевидно

>Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем

Сразу подумал, как прочитал заголовок.

Задержка - это ещё ладно. Главное - в другом:

> пакетный менеджер npm посчитает более приоритетным публичный репозиторий и загрузит подготовленный атакующим пакет.

О_о... Привет всяким карго!

> GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки.

Отказался закрыть дырищщу?! Это кто же заказал её?

> Это кто же заказал её?

Насколько я могу судить на основании своего прошлого опыта, информация такого рода, как правило, не разглашается.

Если какой-то балда додумался ссылаться к собственным пакетам просто по именам, то очевидно что система будет по возможности лезть в сеть и тянуть последнюю актуальную версию где бы та ни находилась если в правилах к пакету указано "тянуть свежайшую версию"
Для каких-то сильно внутренних пакетов есть много других вариантов - вплоть до просто прямой ссылки на пакет

Это не столько баг, сколько забивание гвоздей монитором с последующим невероятным удивлением что ему пришёл конец

> очевидно что система будет по возможности лезть в сеть

Для какой балды это очевидно?

Итак, есть система, заточенная на работу с глобальным репозиторием в первую очередь

Есть «просто пакет», у него есть просто название и версия

Где, по возможности, подобная система будет искать «просто пакет» с просто версией, тем более что названия внутренних и внешних пакетов запросто могут пересекаться ?

Если нужны какие-то исключительно локальные пакеты, то там нередко идёт прямая ссылка на пакет( будь то гит например или даже локально, на каталог пакета ) во избежание множества чудес и улучшения переносимости проекта( если какие-то мелкие пакеты были допилены исключительно под конкретный проект, то их нередко и в рамках проекта держат, из проекта же они и ставятся по ссылке )

А потом удивляемся дырам из-за таких смузихлёбов. Дыры by design.

>GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки, сославшись на архитектурные ограничения.

Вообще очень непросто защититься от такого. Это вся стандартная архитектура с базами данных сразу становится неприемлима, и возникает необходимость в специализированной дополнительной базе данных на основе иерархической хеш-таблицы с 4 операциями: запросить таблицу по ключу, безопасно проверить наличие значения в таблице по ключу, удалить значение в таблице, удалить таблицу по ключу. Получается что-то вроде реестра Windows.

>Вообще очень непросто защититься от такого.

А вообще - просто. Нужно просто на сервере измерять время операций и замедлять слишком быстрые. Подход универсален, совместим с любыми базами с поддержкой транзакций, легко интегрируется в любые базы путём добавления одного поля метаданных с верхней границей времени.

Кто-нибудь, запилите фичу для популярных баз.

Thread.Sleep(Math.Random(500));
В продакшен!

Thread.Sleep(4); // chosen by fair dice roll, guaranteed to be random
тогда

Очень просто: поменять приоритет публичных и локальных репов.

Проблема в том, что само название пакета и его существование может быть коммерческой тайной.

>Вообще очень непросто защититься от такого

Конечно, это очень непросто проверить наличие у юзера прав доступа до поиска а не после.

Просто комитить зависимости

Надо просто взять все популярные имена зависимостей и разместить, да и все, зачем все выяснять? :) Раз оно такое тупое, что вытянет самое новое откуда угодно.

Он упадет если нет депендесни. Надо сначала проверить.

Но ведь сначала должны проверяться права доступа. Как тогда доходит до проверки наличия или отсутствия файлов? 🤔

они всё наоборот делают.

> В NPM выявлена недоработка...

Да ладно, серьёзно!?

А может быть просто не надо тянуть свежие версии из публичных репозиториев без аудита ??

В npm можно свой user-scope или organization-scope создать тогда никто не сможет загрузить пакеты с вашим именем.
Или просто загрузить пакеты с тем же именем

Какое дело честному человеку до левых репозиториев?

Какое дело честному человеку до репозиториев?

нет NPM, нет и атак