Атака по времени на API npm помогает обнаружить приватные пакеты
2022-10-18 17:30:31
Компания Aqua Security, занимающаяся безопасностью контейнерных и облачных приложений, предупреждает, что существование приватных пакетов npm может быть раскрыто путем выполнения атак по времени (timing attack). Обнаружив существование частного пакета, злоумышленник может организовать атаку на цепочку поставок: создать общедоступные пакеты, которые будут выдавать себя за легитимные и приватные, и обманом заставить пользователей загрузить их.
Подробнее https://xakep.ru/2022/1...