Công ty Aqua Security phát hiện, kẻ tấn công nắm trong tay danh sách tên gói có thể tấn công timing để xác định xem một tổ chức có tạo ra các gói NPM vốn không thể truy cập công khai hay không.
Khi đã xác định được sự tồn tại của một gói riêng tư, kẻ tấn công có thể thực hiện tấn công chuỗi...