Typosquatting パッケージ
Typosquatting パッケージ とは何ですか?
Typosquatting パッケージ人気ライブラリと非常に似た名前で公開され、開発者が打ち間違いなどで誤って導入してしまう悪意あるオープンソースパッケージ。
Typosquatting パッケージは開発者の補完入力とコピー&ペースト習慣を狙います。攻撃者は react、lodash、requests、cross-env、urllib3 など広く使われているライブラリを選び、わずかに名前を変えた悪意あるパッケージ(crossenv と cross-env、python3-dateutil と python-dateutil など)を npm、PyPI、RubyGems、NuGet に公開します。開発者が打ち間違える、誤ったドキュメントを参照する、AI の提案を鵜呑みにすると、その悪意あるパッケージが導入され、post-install や import 時のコードがトークン窃取、バックドア設置、暗号資産ウォレットの吸出しなどを行います。対策はロックファイル、アローリスト、依存レビュー(Socket、Snyk、GitHub Dependency Review)、CI の厳格な新規依存ポリシー、レジストリ側の名前空間保護です。
● 例
- 01
npm の crossenv(正規は cross-env)が 2017 年に資格情報窃取コードを配布。
- 02
PyPI の python3-dateutil と jeIlyfish が 2019 年に人気ライブラリを偽装し SSH 鍵を窃取。
● よくある質問
Typosquatting パッケージ とは何ですか?
人気ライブラリと非常に似た名前で公開され、開発者が打ち間違いなどで誤って導入してしまう悪意あるオープンソースパッケージ。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Typosquatting パッケージ とはどういう意味ですか?
人気ライブラリと非常に似た名前で公開され、開発者が打ち間違いなどで誤って導入してしまう悪意あるオープンソースパッケージ。
Typosquatting パッケージ はどのように機能しますか?
Typosquatting パッケージは開発者の補完入力とコピー&ペースト習慣を狙います。攻撃者は react、lodash、requests、cross-env、urllib3 など広く使われているライブラリを選び、わずかに名前を変えた悪意あるパッケージ(crossenv と cross-env、python3-dateutil と python-dateutil など)を npm、PyPI、RubyGems、NuGet に公開します。開発者が打ち間違える、誤ったドキュメントを参照する、AI の提案を鵜呑みにすると、その悪意あるパッケージが導入され、post-install や import 時のコードがトークン窃取、バックドア設置、暗号資産ウォレットの吸出しなどを行います。対策はロックファイル、アローリスト、依存レビュー(Socket、Snyk、GitHub Dependency Review)、CI の厳格な新規依存ポリシー、レジストリ側の名前空間保護です。
Typosquatting パッケージ からどのように防御しますか?
Typosquatting パッケージ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Typosquatting パッケージ の別名は何ですか?
一般的な別名: パッケージ typosquatting, 名称混同攻撃。
● 関連用語
- attacks№ 647
悪意ある npm パッケージ
インストール時にデータ窃取、マルウェア導入、下流アプリ侵害を狙う隠しコードを含む npm パッケージ。
- attacks№ 1097
スタージャッキング
悪意あるパッケージが有名な GitHub リポジトリへの偽のリンクを設定し、そのスター数や貢献者、信頼性を見かけ上引き継がせるサプライチェーン手法。
- appsec№ 304
依存関係混同攻撃(Dependency Confusion)
攻撃者が組織内部の依存関係と同じ名前の悪意あるパッケージをパブリックレジストリに公開し、ビルドツールにパブリック版を取得させるサプライチェーン攻撃。
- attacks№ 1116
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。
- attacks№ 868
プロテストウェア
オープンソースソフトウェアのメンテナが政治的動機からメッセージ表示や特定国とみなしたユーザーへの妨害コードを意図的に追加するソフトウェア。