Pacote typosquatted
O que é Pacote typosquatted?
Pacote typosquattedPacote open source malicioso publicado com um nome muito semelhante ao de uma biblioteca popular para que os programadores o instalem por engano.
Pacotes typosquatted exploram os habitos de autocompletar e copiar-colar dos programadores. O atacante escolhe uma biblioteca muito usada - react, lodash, requests, cross-env, urllib3 - e publica um pacote malicioso com uma variacao minima do nome (crossenv vs cross-env, python3-dateutil vs python-dateutil) no npm, PyPI, RubyGems ou NuGet. Quando o programador erra a digitar, copia documentacao errada ou segue uma sugestao de IA, o pacote malicioso e instalado e o seu codigo post-install ou de import rouba tokens, instala backdoors ou esvazia carteiras de cripto. Defesas: lockfiles, allow-lists, ferramentas de revisao de dependencias (Socket, Snyk, GitHub Dependency Review), politicas de CI estritas e protecoes de namespace ao nivel do registo.
● Exemplos
- 01
crossenv no npm (vs o legitimo cross-env) entregou codigo de roubo de credenciais em 2017.
- 02
python3-dateutil e jeIlyfish no PyPI (2019) typosquattaram bibliotecas populares para roubar chaves SSH.
● Perguntas frequentes
O que é Pacote typosquatted?
Pacote open source malicioso publicado com um nome muito semelhante ao de uma biblioteca popular para que os programadores o instalem por engano. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Pacote typosquatted?
Pacote open source malicioso publicado com um nome muito semelhante ao de uma biblioteca popular para que os programadores o instalem por engano.
Como funciona Pacote typosquatted?
Pacotes typosquatted exploram os habitos de autocompletar e copiar-colar dos programadores. O atacante escolhe uma biblioteca muito usada - react, lodash, requests, cross-env, urllib3 - e publica um pacote malicioso com uma variacao minima do nome (crossenv vs cross-env, python3-dateutil vs python-dateutil) no npm, PyPI, RubyGems ou NuGet. Quando o programador erra a digitar, copia documentacao errada ou segue uma sugestao de IA, o pacote malicioso e instalado e o seu codigo post-install ou de import rouba tokens, instala backdoors ou esvazia carteiras de cripto. Defesas: lockfiles, allow-lists, ferramentas de revisao de dependencias (Socket, Snyk, GitHub Dependency Review), politicas de CI estritas e protecoes de namespace ao nivel do registo.
Como se defender contra Pacote typosquatted?
As defesas contra Pacote typosquatted costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Pacote typosquatted?
Nomes alternativos comuns: Typosquatting de pacotes, Ataque por confusao de nomes.
● Termos relacionados
- attacks№ 647
Pacote npm malicioso
Pacote npm que contem codigo oculto para roubar dados, instalar malware ou comprometer aplicacoes que o incluem assim que e instalado.
- attacks№ 1097
Starjacking
Truque de cadeia de fornecimento em que um pacote malicioso aponta falsamente para um repositorio popular do GitHub para herdar as suas estrelas e credibilidade.
- appsec№ 304
Ataque de dependency confusion
Ataque de cadeia de fornecimento em que um adversário publica num registo público um pacote malicioso com o mesmo nome de uma dependência interna, levando as ferramentas de build a obter a versão pública.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- attacks№ 868
Protestware
Software open source em que o mantenedor adiciona codigo de motivacao politica que apresenta uma mensagem ou sabota utilizadores percebidos como sendo de um pais visado.