Novo ataque ao npm pode confundir usuários por meio da clonagem de módulos
O ataque baseia-se em uma pequena diferença no tempo de retorno de um erro 404 ao se pesquisar por módulos privados que existem ou não dentro de um determinado repositório.
A técnica permite que hackers enganem desenvolvedores, especialmente aqueles que trabalham em empresas que mantém módulos privados, a baixarem clones maliciosos disponíveis publicamente.
A empresa de segurança Aqua Security alertou o GitHub sobre o bug em março, mas foi informada de que a brecha não pode ser corrigida devido a limitações arquitetônicas.
As organizações podem tomar medidas preventivas pesquisando frequentemente por pacotes suspeitos, duplicados ou semelhantes no npm, ou ainda, criar módulos públicos falsos de seus módulos privados como espaços reservados, pois o npm não permite o upload de pacotes com o mesmo nome em repositórios públicos.