Starjacking
Что такое Starjacking?
StarjackingПриём в атаках на цепочку поставок, при котором вредоносный пакет указывает фальшивую ссылку на популярный репозиторий GitHub и наследует его звезды и доверие.
Starjacking использует то, что npm, PyPI и подобные реестры показывают показатели популярности (звезды, контрибьюторы, README) по URL, указанным автором, без проверки владения. Атакующий публикует вредоносный или typosquatted-пакет и ссылается в поле repository на известный, никак не связанный проект. Инструменты и разработчики, ориентирующиеся на звезды и значки скачиваний, видят будто бы популярный проект и устанавливают вредоносный код. Часто комбинируется с typosquatting и dependency confusion. Защита: проверять реальную ссылку на репозиторий, изучать историю мейнтейнера и даты публикаций, использовать инструменты вроде Socket, OpenSSF Scorecard и проверку подписей реестра.
● Примеры
- 01
Вредоносный npm-пакет указывает в поле "repository" значение facebook/react, чтобы страница реестра показывала звезды React.
- 02
Typosquatted-пакет на PyPI ссылается домашней страницей на известную библиотеку для data science, чтобы выглядеть законным.
● Частые вопросы
Что такое Starjacking?
Приём в атаках на цепочку поставок, при котором вредоносный пакет указывает фальшивую ссылку на популярный репозиторий GitHub и наследует его звезды и доверие. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Starjacking?
Приём в атаках на цепочку поставок, при котором вредоносный пакет указывает фальшивую ссылку на популярный репозиторий GitHub и наследует его звезды и доверие.
Как работает Starjacking?
Starjacking использует то, что npm, PyPI и подобные реестры показывают показатели популярности (звезды, контрибьюторы, README) по URL, указанным автором, без проверки владения. Атакующий публикует вредоносный или typosquatted-пакет и ссылается в поле repository на известный, никак не связанный проект. Инструменты и разработчики, ориентирующиеся на звезды и значки скачиваний, видят будто бы популярный проект и устанавливают вредоносный код. Часто комбинируется с typosquatting и dependency confusion. Защита: проверять реальную ссылку на репозиторий, изучать историю мейнтейнера и даты публикаций, использовать инструменты вроде Socket, OpenSSF Scorecard и проверку подписей реестра.
Как защититься от Starjacking?
Защита от Starjacking обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Starjacking?
Распространённые альтернативные названия: Угон звезд, Stat-jacking.
● Связанные термины
- attacks№ 1183
Typosquatted-пакет
Вредоносный open-source-пакет, опубликованный под именем, очень похожим на популярную библиотеку, чтобы разработчики устанавливали его по ошибке.
- attacks№ 647
Вредоносный npm-пакет
Пакет npm со скрытым кодом, который при установке крадет данные, ставит вредоносное ПО или компрометирует приложения, использующие его.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- appsec№ 304
Атака путаницы зависимостей (Dependency Confusion)
Атака на цепочку поставок ПО, при которой злоумышленник публикует в публичном реестре вредоносный пакет с именем, совпадающим с внутренней зависимостью организации, заставляя сборку подтягивать публичную версию.