Starjacking
Was ist Starjacking?
StarjackingLieferketten-Trick, bei dem ein boesartiges Paket faelschlich auf ein populaeres GitHub-Repo verweist, um dessen Sterne, Mitwirkende und Reputation zu erben.
Starjacking nutzt aus, dass npm, PyPI und vergleichbare Registries Popularitaetsmetriken (Sterne, Contributors, README) anhand der vom Autor angegebenen URLs anzeigen, ohne den Besitz zu pruefen. Der Angreifer veroeffentlicht ein schaedliches oder typosquatted Paket und setzt das repository-Feld auf ein bekanntes, nicht verwandtes Projekt. Tools und Entwickler, die Vertrauen anhand von Sternen oder Download-Badges bewerten, sehen ein scheinbar populaeres Projekt und installieren den boesartigen Code. Oft wird Starjacking mit Typosquatting oder Dependency Confusion kombiniert. Schutz: tatsaechliche Repository-URL pruefen, Maintainer-Historie und Veroeffentlichungsdaten betrachten, Tools wie Socket, OpenSSF Scorecard oder Registry-Signaturpruefungen einsetzen.
● Beispiele
- 01
Ein boesartiges npm-Paket setzt sein Feld "repository" auf facebook/react, damit die Registry-Seite die Sterne von React anzeigt.
- 02
Ein typosquatted PyPI-Paket verlinkt seine Homepage auf eine bekannte Data-Science-Bibliothek, um seriös zu wirken.
● Häufige Fragen
Was ist Starjacking?
Lieferketten-Trick, bei dem ein boesartiges Paket faelschlich auf ein populaeres GitHub-Repo verweist, um dessen Sterne, Mitwirkende und Reputation zu erben. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Starjacking?
Lieferketten-Trick, bei dem ein boesartiges Paket faelschlich auf ein populaeres GitHub-Repo verweist, um dessen Sterne, Mitwirkende und Reputation zu erben.
Wie funktioniert Starjacking?
Starjacking nutzt aus, dass npm, PyPI und vergleichbare Registries Popularitaetsmetriken (Sterne, Contributors, README) anhand der vom Autor angegebenen URLs anzeigen, ohne den Besitz zu pruefen. Der Angreifer veroeffentlicht ein schaedliches oder typosquatted Paket und setzt das repository-Feld auf ein bekanntes, nicht verwandtes Projekt. Tools und Entwickler, die Vertrauen anhand von Sternen oder Download-Badges bewerten, sehen ein scheinbar populaeres Projekt und installieren den boesartigen Code. Oft wird Starjacking mit Typosquatting oder Dependency Confusion kombiniert. Schutz: tatsaechliche Repository-URL pruefen, Maintainer-Historie und Veroeffentlichungsdaten betrachten, Tools wie Socket, OpenSSF Scorecard oder Registry-Signaturpruefungen einsetzen.
Wie schützt man sich gegen Starjacking?
Schutzmaßnahmen gegen Starjacking kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Starjacking?
Übliche alternative Bezeichnungen: Sterne-Klau, Stat-jacking.
● Verwandte Begriffe
- attacks№ 1183
Typosquatted Package
Schaedliches Open-Source-Paket, das unter einem einer beliebten Bibliothek sehr aehnlichen Namen veroeffentlicht wird, damit Entwickler es versehentlich installieren.
- attacks№ 647
Schaedliches npm-Paket
npm-Paket mit verstecktem Code, der bei der Installation Daten stiehlt, Malware nachlaedt oder nachgelagerte Anwendungen kompromittiert.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
- appsec№ 304
Dependency-Confusion-Angriff
Supply-Chain-Angriff, bei dem ein Angreifer ein bösartiges Paket mit dem Namen einer internen Abhängigkeit in einer öffentlichen Registry veröffentlicht, sodass Build-Tools die öffentliche Version laden.