Actu
Alerte attaque supply chain logicielle : des paquets privés divulgués via une timing attack sur npm selon les analystes sécurité Aqua Nautilus
octobre 2022 par Aqua Nautilus
Les chercheurs en sécurité d’Aqua Nautilus ont découvert que les API de npm, gestionnaire de paquets pour l’environnement d’exécution JavaScript Node.js permettent aux hackers d’exécuter une timing attack capable de détecter les packages privés.
En créant une liste de noms de packages possibles, ils ont la capacité de détecter les packages privés des organisations, puis de masquer les packages publics, incitant les collaborateurs et les utilisateurs à les télécharger. Ce type d’attaque est lié à une catégorie plus large d’attaques ciblant la chaîne d’approvisionnement. Au cours des dernières années, Aqua Nautilus a constaté une augmentation du volume et de la variété de ces attaques.
