Starjacking
Что такое Starjacking?
StarjackingПриём в атаках на цепочку поставок, при котором вредоносный пакет указывает фальшивую ссылку на популярный репозиторий GitHub и наследует его звезды и доверие.
Starjacking использует то, что npm, PyPI и подобные реестры показывают показатели популярности (звезды, контрибьюторы, README) по URL, указанным автором, без проверки владения. Атакующий публикует вредоносный или typosquatted-пакет и ссылается в поле repository на известный, никак не связанный проект. Инструменты и разработчики, ориентирующиеся на звезды и значки скачиваний, видят будто бы популярный проект и устанавливают вредоносный код. Часто комбинируется с typosquatting и dependency confusion. Защита: проверять реальную ссылку на репозиторий, изучать историю мейнтейнера и даты публикаций, использовать инструменты вроде Socket, OpenSSF Scorecard и проверку подписей реестра.
● Примеры
- 01
Вредоносный npm-пакет указывает в поле "repository" значение facebook/react, чтобы страница реестра показывала звезды React.
- 02
Typosquatted-пакет на PyPI ссылается домашней страницей на известную библиотеку для data science, чтобы выглядеть законным.
● Частые вопросы
Что такое Starjacking?
Приём в атаках на цепочку поставок, при котором вредоносный пакет указывает фальшивую ссылку на популярный репозиторий GitHub и наследует его звезды и доверие. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Starjacking?
Приём в атаках на цепочку поставок, при котором вредоносный пакет указывает фальшивую ссылку на популярный репозиторий GitHub и наследует его звезды и доверие.
Как защититься от Starjacking?
Защита от Starjacking обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Starjacking?
Распространённые альтернативные названия: Угон звезд, Stat-jacking.