研究团队发现一种新的npm定时攻击可导致供应链攻击

据外媒报道，Aqua Security团队发现一种新的npm定时攻击。它可以透露私有软件包的名称，因此攻击者可以公开发布恶意克隆，并诱使开发人员使用它们。这种攻击依赖于在搜索一个私有包时，与库中不存在的包相比，返回404 Not Found错误的微小时间差。虽然响应时间差只有几百毫秒，但它足以确定这个私有包是否存在，从而进行假冒攻击。研究人员称，这种新的技术可能导致供应链攻击，而GitHub表示不会解决这个问题。