Starjacking(蹭星攻击)
Starjacking(蹭星攻击) 是什么?
Starjacking(蹭星攻击)一种供应链伎俩,恶意软件包将仓库地址伪造为热门 GitHub 项目,以借用该项目的星标、贡献者与可信度。
Starjacking 利用了 npm、PyPI 等注册表展示项目流行度指标(GitHub 星标、贡献者、README)时,直接采用作者声明的 URL 而不验证所有权这一漏洞。攻击者发布恶意或拼写相近的包,并将其 repository 字段指向一个完全无关的知名项目。开发者或自动化工具若以星标、下载量徽章来判断可信度,就会看到一个看似热门的项目并安装恶意代码。该手法常与 typosquatting 或依赖混淆攻击结合。防御措施包括核实实际仓库 URL、检查维护者历史与发布日期,以及使用 Socket、OpenSSF Scorecard 或注册表签名校验等工具。
● 示例
- 01
恶意 npm 包将 "repository" 字段写为 facebook/react,使注册表页面显示 React 项目的星标数。
- 02
PyPI 上的 typosquatted 包将首页链接指向一个知名数据科学库,以伪装合法。
● 常见问题
Starjacking(蹭星攻击) 是什么?
一种供应链伎俩,恶意软件包将仓库地址伪造为热门 GitHub 项目,以借用该项目的星标、贡献者与可信度。 它属于网络安全的 攻击与威胁 分类。
Starjacking(蹭星攻击) 是什么意思?
一种供应链伎俩,恶意软件包将仓库地址伪造为热门 GitHub 项目,以借用该项目的星标、贡献者与可信度。
Starjacking(蹭星攻击) 是如何工作的?
Starjacking 利用了 npm、PyPI 等注册表展示项目流行度指标(GitHub 星标、贡献者、README)时,直接采用作者声明的 URL 而不验证所有权这一漏洞。攻击者发布恶意或拼写相近的包,并将其 repository 字段指向一个完全无关的知名项目。开发者或自动化工具若以星标、下载量徽章来判断可信度,就会看到一个看似热门的项目并安装恶意代码。该手法常与 typosquatting 或依赖混淆攻击结合。防御措施包括核实实际仓库 URL、检查维护者历史与发布日期,以及使用 Socket、OpenSSF Scorecard 或注册表签名校验等工具。
如何防御 Starjacking(蹭星攻击)?
针对 Starjacking(蹭星攻击) 的防御通常结合技术控制与运营实践,详见上方完整定义。
Starjacking(蹭星攻击) 还有哪些其他名称?
常见的别称包括: 蹭星, Stat-jacking。