Starjacking
O que é Starjacking?
StarjackingTruque de cadeia de fornecimento em que um pacote malicioso aponta falsamente para um repositorio popular do GitHub para herdar as suas estrelas e credibilidade.
O starjacking explora o facto de o npm, PyPI e registos semelhantes mostrarem metricas de popularidade (estrelas, contribuidores, README) a partir de URLs indicadas pelo autor sem verificar a posse. O atacante publica um pacote malicioso ou typosquatted e aponta o campo de repositorio para um projeto famoso sem relacao. Ferramentas e programadores que avaliam confianca por estrelas ou badges de descargas veem um projeto aparentemente popular e instalam o codigo malicioso. Costuma combinar-se com typosquatting ou dependency confusion. As defesas passam por verificar a URL real do repositorio, analisar o historial do mantenedor e as datas de publicacao e usar ferramentas como Socket, OpenSSF Scorecard ou verificacao de assinatura.
● Exemplos
- 01
Um pacote npm malicioso coloca o campo "repository" como facebook/react para que a pagina do registo mostre as estrelas do React.
- 02
Um pacote typosquatted no PyPI faz com que a sua homepage aponte para uma biblioteca conhecida de ciencia de dados para parecer legitimo.
● Perguntas frequentes
O que é Starjacking?
Truque de cadeia de fornecimento em que um pacote malicioso aponta falsamente para um repositorio popular do GitHub para herdar as suas estrelas e credibilidade. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Starjacking?
Truque de cadeia de fornecimento em que um pacote malicioso aponta falsamente para um repositorio popular do GitHub para herdar as suas estrelas e credibilidade.
Como funciona Starjacking?
O starjacking explora o facto de o npm, PyPI e registos semelhantes mostrarem metricas de popularidade (estrelas, contribuidores, README) a partir de URLs indicadas pelo autor sem verificar a posse. O atacante publica um pacote malicioso ou typosquatted e aponta o campo de repositorio para um projeto famoso sem relacao. Ferramentas e programadores que avaliam confianca por estrelas ou badges de descargas veem um projeto aparentemente popular e instalam o codigo malicioso. Costuma combinar-se com typosquatting ou dependency confusion. As defesas passam por verificar a URL real do repositorio, analisar o historial do mantenedor e as datas de publicacao e usar ferramentas como Socket, OpenSSF Scorecard ou verificacao de assinatura.
Como se defender contra Starjacking?
As defesas contra Starjacking costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Starjacking?
Nomes alternativos comuns: Roubo de estrelas, Stat-jacking.
● Termos relacionados
- attacks№ 1183
Pacote typosquatted
Pacote open source malicioso publicado com um nome muito semelhante ao de uma biblioteca popular para que os programadores o instalem por engano.
- attacks№ 647
Pacote npm malicioso
Pacote npm que contem codigo oculto para roubar dados, instalar malware ou comprometer aplicacoes que o incluem assim que e instalado.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- appsec№ 304
Ataque de dependency confusion
Ataque de cadeia de fornecimento em que um adversário publica num registo público um pacote malicioso com o mesmo nome de uma dependência interna, levando as ferramentas de build a obter a versão pública.