Typosquatted Package
Was ist Typosquatted Package?
Typosquatted PackageSchaedliches Open-Source-Paket, das unter einem einer beliebten Bibliothek sehr aehnlichen Namen veroeffentlicht wird, damit Entwickler es versehentlich installieren.
Typosquatted Packages zielen auf Auto-Completion und Copy-Paste-Gewohnheiten der Entwickler. Der Angreifer waehlt eine weit verbreitete Bibliothek - react, lodash, requests, cross-env, urllib3 - und veroeffentlicht ein boesartiges Paket mit minimaler Namensaenderung (crossenv vs cross-env, python3-dateutil vs python-dateutil) auf npm, PyPI, RubyGems oder NuGet. Vertippt sich ein Entwickler, kopiert er falsche Doku oder folgt einer KI-Empfehlung, wird das schaedliche Paket installiert und sein Post-Install- oder Import-Code stiehlt Tokens, setzt Backdoors oder plundert Crypto-Wallets. Schutz: Lockfiles, Allow-Lists, Dependency-Review-Tools (Socket, Snyk, GitHub Dependency Review), strenge CI-Policies und Namespace-Schutz auf Registry-Ebene.
● Beispiele
- 01
crossenv auf npm (statt cross-env) lieferte 2017 einen Credential Stealer aus.
- 02
python3-dateutil und jeIlyfish auf PyPI (2019) typosquatteten beliebte Bibliotheken und stahlen SSH-Schluessel.
● Häufige Fragen
Was ist Typosquatted Package?
Schaedliches Open-Source-Paket, das unter einem einer beliebten Bibliothek sehr aehnlichen Namen veroeffentlicht wird, damit Entwickler es versehentlich installieren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Typosquatted Package?
Schaedliches Open-Source-Paket, das unter einem einer beliebten Bibliothek sehr aehnlichen Namen veroeffentlicht wird, damit Entwickler es versehentlich installieren.
Wie funktioniert Typosquatted Package?
Typosquatted Packages zielen auf Auto-Completion und Copy-Paste-Gewohnheiten der Entwickler. Der Angreifer waehlt eine weit verbreitete Bibliothek - react, lodash, requests, cross-env, urllib3 - und veroeffentlicht ein boesartiges Paket mit minimaler Namensaenderung (crossenv vs cross-env, python3-dateutil vs python-dateutil) auf npm, PyPI, RubyGems oder NuGet. Vertippt sich ein Entwickler, kopiert er falsche Doku oder folgt einer KI-Empfehlung, wird das schaedliche Paket installiert und sein Post-Install- oder Import-Code stiehlt Tokens, setzt Backdoors oder plundert Crypto-Wallets. Schutz: Lockfiles, Allow-Lists, Dependency-Review-Tools (Socket, Snyk, GitHub Dependency Review), strenge CI-Policies und Namespace-Schutz auf Registry-Ebene.
Wie schützt man sich gegen Typosquatted Package?
Schutzmaßnahmen gegen Typosquatted Package kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Typosquatted Package?
Übliche alternative Bezeichnungen: Package-Typosquatting, Name-Confusion-Angriff.
● Verwandte Begriffe
- attacks№ 647
Schaedliches npm-Paket
npm-Paket mit verstecktem Code, der bei der Installation Daten stiehlt, Malware nachlaedt oder nachgelagerte Anwendungen kompromittiert.
- attacks№ 1097
Starjacking
Lieferketten-Trick, bei dem ein boesartiges Paket faelschlich auf ein populaeres GitHub-Repo verweist, um dessen Sterne, Mitwirkende und Reputation zu erben.
- appsec№ 304
Dependency-Confusion-Angriff
Supply-Chain-Angriff, bei dem ein Angreifer ein bösartiges Paket mit dem Namen einer internen Abhängigkeit in einer öffentlichen Registry veröffentlicht, sodass Build-Tools die öffentliche Version laden.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
- attacks№ 868
Protestware
Open-Source-Software, deren Maintainer absichtlich politisch motivierten Code einbringt, der eine Botschaft anzeigt oder Nutzer in einem als Ziel wahrgenommenen Land sabotiert.