Typosquatting パッケージ
Typosquatting パッケージ とは何ですか?
Typosquatting パッケージ人気ライブラリと非常に似た名前で公開され、開発者が打ち間違いなどで誤って導入してしまう悪意あるオープンソースパッケージ。
Typosquatting パッケージは開発者の補完入力とコピー&ペースト習慣を狙います。攻撃者は react、lodash、requests、cross-env、urllib3 など広く使われているライブラリを選び、わずかに名前を変えた悪意あるパッケージ(crossenv と cross-env、python3-dateutil と python-dateutil など)を npm、PyPI、RubyGems、NuGet に公開します。開発者が打ち間違える、誤ったドキュメントを参照する、AI の提案を鵜呑みにすると、その悪意あるパッケージが導入され、post-install や import 時のコードがトークン窃取、バックドア設置、暗号資産ウォレットの吸出しなどを行います。対策はロックファイル、アローリスト、依存レビュー(Socket、Snyk、GitHub Dependency Review)、CI の厳格な新規依存ポリシー、レジストリ側の名前空間保護です。
● 例
- 01
npm の crossenv(正規は cross-env)が 2017 年に資格情報窃取コードを配布。
- 02
PyPI の python3-dateutil と jeIlyfish が 2019 年に人気ライブラリを偽装し SSH 鍵を窃取。
● よくある質問
Typosquatting パッケージ とは何ですか?
人気ライブラリと非常に似た名前で公開され、開発者が打ち間違いなどで誤って導入してしまう悪意あるオープンソースパッケージ。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Typosquatting パッケージ とはどういう意味ですか?
人気ライブラリと非常に似た名前で公開され、開発者が打ち間違いなどで誤って導入してしまう悪意あるオープンソースパッケージ。
Typosquatting パッケージ からどのように防御しますか?
Typosquatting パッケージ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Typosquatting パッケージ の別名は何ですか?
一般的な別名: パッケージ typosquatting, 名称混同攻撃。