Paquete typosquatted
¿Qué es Paquete typosquatted?
Paquete typosquattedPaquete open source malicioso publicado con un nombre muy parecido al de una libreria popular para que los desarrolladores lo instalen por error.
Los paquetes typosquatted se aprovechan de los habitos de autocompletado y copiar-pegar de los desarrolladores. El atacante elige una libreria muy usada —react, lodash, requests, cross-env, urllib3— y publica un paquete malicioso con un nombre ligeramente distinto (crossenv vs cross-env, python3-dateutil vs python-dateutil) en npm, PyPI, RubyGems o NuGet. Cuando un desarrollador se equivoca al escribir, sigue documentacion incorrecta o se fia de sugerencias de IA, el paquete malicioso se instala y su codigo post-install o de import roba tokens, instala backdoors o vacia carteras de cripto. Defensas: lockfiles, listas de permitidos, herramientas de revision de dependencias (Socket, Snyk, GitHub Dependency Review), politicas estrictas de CI y protecciones de namespace en los registros.
● Ejemplos
- 01
crossenv en npm (frente a cross-env) entrego codigo robaador de credenciales en 2017.
- 02
python3-dateutil y jeIlyfish en PyPI (2019) suplantaron librerias populares para robar claves SSH.
● Preguntas frecuentes
¿Qué es Paquete typosquatted?
Paquete open source malicioso publicado con un nombre muy parecido al de una libreria popular para que los desarrolladores lo instalen por error. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Paquete typosquatted?
Paquete open source malicioso publicado con un nombre muy parecido al de una libreria popular para que los desarrolladores lo instalen por error.
¿Cómo funciona Paquete typosquatted?
Los paquetes typosquatted se aprovechan de los habitos de autocompletado y copiar-pegar de los desarrolladores. El atacante elige una libreria muy usada —react, lodash, requests, cross-env, urllib3— y publica un paquete malicioso con un nombre ligeramente distinto (crossenv vs cross-env, python3-dateutil vs python-dateutil) en npm, PyPI, RubyGems o NuGet. Cuando un desarrollador se equivoca al escribir, sigue documentacion incorrecta o se fia de sugerencias de IA, el paquete malicioso se instala y su codigo post-install o de import roba tokens, instala backdoors o vacia carteras de cripto. Defensas: lockfiles, listas de permitidos, herramientas de revision de dependencias (Socket, Snyk, GitHub Dependency Review), politicas estrictas de CI y protecciones de namespace en los registros.
¿Cómo defenderse de Paquete typosquatted?
Las defensas contra Paquete typosquatted combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Paquete typosquatted?
Nombres alternativos comunes: Typosquatting de paquetes, Ataque por confusion de nombres.
● Términos relacionados
- attacks№ 647
Paquete malicioso de npm
Paquete de npm que contiene codigo oculto para robar datos, instalar malware o comprometer aplicaciones que lo incluyan al instalarse.
- attacks№ 1097
Starjacking
Tecnica de cadena de suministro en la que un paquete malicioso enlaza falsamente con un repositorio popular de GitHub para heredar su credibilidad y estrellas.
- appsec№ 304
Ataque de dependencia confusa
Ataque a la cadena de suministro en el que el adversario publica un paquete malicioso en un registro público con el mismo nombre que una dependencia interna, engañando a las herramientas de build para que tomen la versión pública.
- attacks№ 1116
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.
- attacks№ 868
Protestware
Software open source en el que el mantenedor incorpora codigo con motivacion politica que muestra un mensaje o sabotea a usuarios percibidos como pertenecientes a un pais objetivo.