Starjacking
Qu'est-ce que Starjacking ?
StarjackingTechnique de supply chain ou un paquet malveillant pointe faussement vers un depot GitHub populaire afin d'heriter de ses etoiles, contributeurs et credibilite.
Le starjacking abuse du fait que npm, PyPI et les registres similaires affichent des metriques de popularite (etoiles, contributeurs, README) en se basant sur des URLs fournies par l'auteur, sans verification de propriete. L'attaquant publie un paquet malveillant ou typosquatte et fait pointer son champ repository vers un projet celebre sans rapport. Les outils et developpeurs qui jugent la confiance par les etoiles ou les badges voient un projet apparemment populaire et installent le code malveillant. Le starjacking se combine souvent avec le typosquatting ou la dependency confusion. Defenses: verifier l'URL reelle du depot, examiner l'historique du mainteneur et les dates de publication, utiliser Socket, OpenSSF Scorecard ou des verifications de signature du registre.
● Exemples
- 01
Un paquet npm malveillant met son champ "repository" sur facebook/react afin que la page du registre affiche les etoiles de React.
- 02
Un paquet typosquatte sur PyPI fait pointer sa page d'accueil vers une bibliotheque data science reconnue pour paraitre legitime.
● Questions fréquentes
Qu'est-ce que Starjacking ?
Technique de supply chain ou un paquet malveillant pointe faussement vers un depot GitHub populaire afin d'heriter de ses etoiles, contributeurs et credibilite. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Starjacking ?
Technique de supply chain ou un paquet malveillant pointe faussement vers un depot GitHub populaire afin d'heriter de ses etoiles, contributeurs et credibilite.
Comment fonctionne Starjacking ?
Le starjacking abuse du fait que npm, PyPI et les registres similaires affichent des metriques de popularite (etoiles, contributeurs, README) en se basant sur des URLs fournies par l'auteur, sans verification de propriete. L'attaquant publie un paquet malveillant ou typosquatte et fait pointer son champ repository vers un projet celebre sans rapport. Les outils et developpeurs qui jugent la confiance par les etoiles ou les badges voient un projet apparemment populaire et installent le code malveillant. Le starjacking se combine souvent avec le typosquatting ou la dependency confusion. Defenses: verifier l'URL reelle du depot, examiner l'historique du mainteneur et les dates de publication, utiliser Socket, OpenSSF Scorecard ou des verifications de signature du registre.
Comment se défendre contre Starjacking ?
Les défenses contre Starjacking combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Starjacking ?
Noms alternatifs courants : Vol d'etoiles, Stat-jacking.
● Termes liés
- attacks№ 1183
Paquet typosquatte
Paquet open source malveillant publie sous un nom tres proche d'une bibliotheque populaire pour que les developpeurs l'installent par erreur.
- attacks№ 647
Paquet npm malveillant
Paquet npm qui dissimule du code destine a voler des donnees, installer du malware ou compromettre les applications qui l'utilisent lors de son installation.
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
- appsec№ 304
Attaque par confusion de dépendances
Attaque de chaîne logicielle où un adversaire publie sur un registre public un paquet malveillant portant le même nom qu'une dépendance interne, trompant les outils de build qui récupèrent la version publique.