プライベートのnpmパッケージがサイバー攻撃者に暴かれる、注意を

eSecurity Planetは10月12日(米国時間)、「Vulnerable API Exposes Private npm Packages｜eSecurityPlanet」において、サイバー攻撃者によってプライペートなnpmパッケージが公開されてしまう危険性があると伝えた。セキュリティ研究者の調査により、npmのAPIに対してタイミング攻撃を行われることで、プライベートのnpmパッケージの存在が暴かれることが明らかとなった。

今回、サイバー攻撃者がnpmパッケージが存在するかを判断するために複数の連続したリクエストを送信することがわかった。このタイミング攻撃は、「https://registry.npmjs.org/@< scope_name>>/< secret_package_name>」のようなエンドポイントをリクエストしようとする不正または未認証のユーザーに対してnpmが404エラーを返すことで機能する。存在するプライベートパッケージと存在しないプライベートパッケージの検索にかかる時間を比較することで、プライペートパッケージの存在が攻撃者にばれてしまうとのことだ。