Атака путаницы зависимостей (Dependency Confusion).

Атака на цепочку поставок ПО, при которой злоумышленник публикует в публичном реестре вредоносный пакет с именем, совпадающим с внутренней зависимостью организации, заставляя сборку подтягивать публичную версию. Относится к категории Безопасность приложений в кибербезопасности.

Атака на цепочку поставок ПО, при которой злоумышленник публикует в публичном реестре вредоносный пакет с именем, совпадающим с внутренней зависимостью организации, заставляя сборку подтягивать публичную версию.

Dependency Confusion использует поведение по умолчанию у пакетных менеджеров (npm, pip, Maven, NuGet, RubyGems и др.), которые комбинируют публичные и приватные реестры. Злоумышленник узнаёт имя внутреннего пакета (по утёкшим манифестам, публичным репозиториям, DNS), публикует в публичном реестре пакет с тем же именем и более высокой версией и ждёт, пока сборочные агенты его скачают. Исследование Алекса Бирсана в 2021 году показало уязвимость десятков крупных компаний. Меры защиты: явная привязка к реестру (npm scoped-пакеты, upstream-фиды NuGet, pip --index-url), публикация внутренних имён-плейсхолдеров в публичном реестре, блокировка исходящего резолва, подпись пакетов через Sigstore или PGP, а также использование курируемого артефакт-репозитория, фиксирующего имя и источник. SLSA, SBOM и постоянный мониторинг новых публичных пакетов помогают выявлять попытки.

Защита от Атака путаницы зависимостей (Dependency Confusion) обычно сочетает технические меры и операционные практики, как описано в определении выше.

Распространённые альтернативные названия: Подмена пакетов, Путаница пространств имён.