Attaque par confusion de dépendances.

Attaque de chaîne logicielle où un adversaire publie sur un registre public un paquet malveillant portant le même nom qu'une dépendance interne, trompant les outils de build qui récupèrent la version publique. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

Attaque de chaîne logicielle où un adversaire publie sur un registre public un paquet malveillant portant le même nom qu'une dépendance interne, trompant les outils de build qui récupèrent la version publique.

La confusion de dépendances exploite le comportement de résolution par défaut des gestionnaires (npm, pip, Maven, NuGet, RubyGems, etc.) qui combinent registres publics et privés. L'attaquant découvre le nom d'un paquet interne (manifests fuités, dépôts publics, DNS), publie sur le registre public un paquet de même nom avec une version supérieure et attend que les agents de build l'installent. Les recherches d'Alex Birsan en 2021 ont montré que de nombreuses grandes entreprises étaient vulnérables. Mitigations : portée explicite des registres (npm scoped, upstream feeds NuGet, pip --index-url), publier des placeholders internes sur les registres publics, bloquer la résolution sortante, signer les paquets avec Sigstore ou PGP et consommer via un dépôt d'artefacts curé qui contraint nom et source. SLSA, SBOM et la surveillance continue des nouveaux paquets publics aident à détecter les tentatives.

Les défenses contre Attaque par confusion de dépendances combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Confusion de namespaces, Attaque par substitution.