Starjacking
O que é Starjacking?
StarjackingTruque de cadeia de fornecimento em que um pacote malicioso aponta falsamente para um repositorio popular do GitHub para herdar as suas estrelas e credibilidade.
O starjacking explora o facto de o npm, PyPI e registos semelhantes mostrarem metricas de popularidade (estrelas, contribuidores, README) a partir de URLs indicadas pelo autor sem verificar a posse. O atacante publica um pacote malicioso ou typosquatted e aponta o campo de repositorio para um projeto famoso sem relacao. Ferramentas e programadores que avaliam confianca por estrelas ou badges de descargas veem um projeto aparentemente popular e instalam o codigo malicioso. Costuma combinar-se com typosquatting ou dependency confusion. As defesas passam por verificar a URL real do repositorio, analisar o historial do mantenedor e as datas de publicacao e usar ferramentas como Socket, OpenSSF Scorecard ou verificacao de assinatura.
● Exemplos
- 01
Um pacote npm malicioso coloca o campo "repository" como facebook/react para que a pagina do registo mostre as estrelas do React.
- 02
Um pacote typosquatted no PyPI faz com que a sua homepage aponte para uma biblioteca conhecida de ciencia de dados para parecer legitimo.
● Perguntas frequentes
O que é Starjacking?
Truque de cadeia de fornecimento em que um pacote malicioso aponta falsamente para um repositorio popular do GitHub para herdar as suas estrelas e credibilidade. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Starjacking?
Truque de cadeia de fornecimento em que um pacote malicioso aponta falsamente para um repositorio popular do GitHub para herdar as suas estrelas e credibilidade.
Como se defender contra Starjacking?
As defesas contra Starjacking costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Starjacking?
Nomes alternativos comuns: Roubo de estrelas, Stat-jacking.