Starjacking
¿Qué es Starjacking?
StarjackingTecnica de cadena de suministro en la que un paquete malicioso enlaza falsamente con un repositorio popular de GitHub para heredar su credibilidad y estrellas.
El starjacking aprovecha que npm, PyPI y registros similares muestran metricas de popularidad (estrellas, contribuidores, README) tomando las URLs que indica el autor sin verificar la propiedad. El atacante publica un paquete malicioso o con nombre tipo-squatted y apunta el campo de repositorio a un proyecto famoso ajeno. Las herramientas y los desarrolladores que evaluan la confianza por estrellas o insignias de descargas ven un proyecto aparentemente popular e instalan el codigo malicioso. Suele combinarse con typosquatting o confusion de dependencias. La defensa pasa por verificar la URL real del repositorio, revisar el historial del mantenedor y las fechas de publicacion, y usar herramientas como Socket, OpenSSF Scorecard o firmas del registro.
● Ejemplos
- 01
Un paquete malicioso de npm pone su campo "repository" en facebook/react para que la pagina del registro muestre las estrellas de React.
- 02
Un paquete typosquatted en PyPI enlaza a la pagina de una biblioteca popular de ciencia de datos para parecer legitimo.
● Preguntas frecuentes
¿Qué es Starjacking?
Tecnica de cadena de suministro en la que un paquete malicioso enlaza falsamente con un repositorio popular de GitHub para heredar su credibilidad y estrellas. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Starjacking?
Tecnica de cadena de suministro en la que un paquete malicioso enlaza falsamente con un repositorio popular de GitHub para heredar su credibilidad y estrellas.
¿Cómo funciona Starjacking?
El starjacking aprovecha que npm, PyPI y registros similares muestran metricas de popularidad (estrellas, contribuidores, README) tomando las URLs que indica el autor sin verificar la propiedad. El atacante publica un paquete malicioso o con nombre tipo-squatted y apunta el campo de repositorio a un proyecto famoso ajeno. Las herramientas y los desarrolladores que evaluan la confianza por estrellas o insignias de descargas ven un proyecto aparentemente popular e instalan el codigo malicioso. Suele combinarse con typosquatting o confusion de dependencias. La defensa pasa por verificar la URL real del repositorio, revisar el historial del mantenedor y las fechas de publicacion, y usar herramientas como Socket, OpenSSF Scorecard o firmas del registro.
¿Cómo defenderse de Starjacking?
Las defensas contra Starjacking combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Starjacking?
Nombres alternativos comunes: Robo de estrellas, Stat-jacking.
● Términos relacionados
- attacks№ 1183
Paquete typosquatted
Paquete open source malicioso publicado con un nombre muy parecido al de una libreria popular para que los desarrolladores lo instalen por error.
- attacks№ 647
Paquete malicioso de npm
Paquete de npm que contiene codigo oculto para robar datos, instalar malware o comprometer aplicaciones que lo incluyan al instalarse.
- attacks№ 1116
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.
- appsec№ 304
Ataque de dependencia confusa
Ataque a la cadena de suministro en el que el adversario publica un paquete malicioso en un registro público con el mismo nombre que una dependencia interna, engañando a las herramientas de build para que tomen la versión pública.