针对npm注册表api发现的一种新颖的计时攻击可被利用，从而可能泄露组织使用的私有包，使开发人员面临供应链威胁的风险。   Aqua Security研究员Yakir Kadkoda说，通过创建一个可能的包裹名单，威胁行为者可以检测到组织范围内的私人包裹，然后伪装公共包裹，诱骗员工和用户下载。   Scoped Confusion攻击银行分析在查询私有包时npm API (注册表. npmjs [ . ] org )返回HTTP 404错误消息所需的时间，并根据一个不存在的模块的响应时间进行测量…