Typosquatted-пакет
Что такое Typosquatted-пакет?
Typosquatted-пакетВредоносный open-source-пакет, опубликованный под именем, очень похожим на популярную библиотеку, чтобы разработчики устанавливали его по ошибке.
Typosquatted-пакеты эксплуатируют привычки разработчиков к автодополнению и копированию. Атакующий выбирает популярную библиотеку — react, lodash, requests, cross-env, urllib3 — и публикует вредоносный пакет с минимальным изменением имени (crossenv против cross-env, python3-dateutil против python-dateutil) в npm, PyPI, RubyGems или NuGet. Когда разработчик ошибается в наборе, копирует неверную документацию или доверяет совету ИИ, вредоносный пакет устанавливается, и его post-install или import-код крадет токены, ставит бэкдоры или опустошает криптокошельки. Защита: lockfile, allow-листы, инструменты ревью зависимостей (Socket, Snyk, GitHub Dependency Review), строгие CI-политики на новые зависимости и защита неймспейсов на стороне реестра.
● Примеры
- 01
crossenv в npm (вместо легитимного cross-env) в 2017 году поставлял крадец учетных данных.
- 02
python3-dateutil и jeIlyfish в PyPI (2019) typosquatted популярные библиотеки и крали SSH-ключи.
● Частые вопросы
Что такое Typosquatted-пакет?
Вредоносный open-source-пакет, опубликованный под именем, очень похожим на популярную библиотеку, чтобы разработчики устанавливали его по ошибке. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Typosquatted-пакет?
Вредоносный open-source-пакет, опубликованный под именем, очень похожим на популярную библиотеку, чтобы разработчики устанавливали его по ошибке.
Как работает Typosquatted-пакет?
Typosquatted-пакеты эксплуатируют привычки разработчиков к автодополнению и копированию. Атакующий выбирает популярную библиотеку — react, lodash, requests, cross-env, urllib3 — и публикует вредоносный пакет с минимальным изменением имени (crossenv против cross-env, python3-dateutil против python-dateutil) в npm, PyPI, RubyGems или NuGet. Когда разработчик ошибается в наборе, копирует неверную документацию или доверяет совету ИИ, вредоносный пакет устанавливается, и его post-install или import-код крадет токены, ставит бэкдоры или опустошает криптокошельки. Защита: lockfile, allow-листы, инструменты ревью зависимостей (Socket, Snyk, GitHub Dependency Review), строгие CI-политики на новые зависимости и защита неймспейсов на стороне реестра.
Как защититься от Typosquatted-пакет?
Защита от Typosquatted-пакет обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Typosquatted-пакет?
Распространённые альтернативные названия: Пакетный typosquatting, Атака по путанице имен.
● Связанные термины
- attacks№ 647
Вредоносный npm-пакет
Пакет npm со скрытым кодом, который при установке крадет данные, ставит вредоносное ПО или компрометирует приложения, использующие его.
- attacks№ 1097
Starjacking
Приём в атаках на цепочку поставок, при котором вредоносный пакет указывает фальшивую ссылку на популярный репозиторий GitHub и наследует его звезды и доверие.
- appsec№ 304
Атака путаницы зависимостей (Dependency Confusion)
Атака на цепочку поставок ПО, при которой злоумышленник публикует в публичном реестре вредоносный пакет с именем, совпадающим с внутренней зависимостью организации, заставляя сборку подтягивать публичную версию.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- attacks№ 868
Протестварь (Protestware)
Открытое ПО, в которое мейнтейнер добавляет политически мотивированный код, отображающий сообщение или саботирующий пользователей из «целевой» страны.