Starjacking
¿Qué es Starjacking?
StarjackingTecnica de cadena de suministro en la que un paquete malicioso enlaza falsamente con un repositorio popular de GitHub para heredar su credibilidad y estrellas.
El starjacking aprovecha que npm, PyPI y registros similares muestran metricas de popularidad (estrellas, contribuidores, README) tomando las URLs que indica el autor sin verificar la propiedad. El atacante publica un paquete malicioso o con nombre tipo-squatted y apunta el campo de repositorio a un proyecto famoso ajeno. Las herramientas y los desarrolladores que evaluan la confianza por estrellas o insignias de descargas ven un proyecto aparentemente popular e instalan el codigo malicioso. Suele combinarse con typosquatting o confusion de dependencias. La defensa pasa por verificar la URL real del repositorio, revisar el historial del mantenedor y las fechas de publicacion, y usar herramientas como Socket, OpenSSF Scorecard o firmas del registro.
● Ejemplos
- 01
Un paquete malicioso de npm pone su campo "repository" en facebook/react para que la pagina del registro muestre las estrellas de React.
- 02
Un paquete typosquatted en PyPI enlaza a la pagina de una biblioteca popular de ciencia de datos para parecer legitimo.
● Preguntas frecuentes
¿Qué es Starjacking?
Tecnica de cadena de suministro en la que un paquete malicioso enlaza falsamente con un repositorio popular de GitHub para heredar su credibilidad y estrellas. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Starjacking?
Tecnica de cadena de suministro en la que un paquete malicioso enlaza falsamente con un repositorio popular de GitHub para heredar su credibilidad y estrellas.
¿Cómo defenderse de Starjacking?
Las defensas contra Starjacking combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Starjacking?
Nombres alternativos comunes: Robo de estrellas, Stat-jacking.