タイポスクワッティングとは?
タイポスクワッティングは、攻撃者が人気ライブラリのつづり間違いに近いパッケージ名を登録し、開発者が名前を打ち間違えて悪意あるバージョンをインストールすることを狙うサプライチェーン攻撃です。偽のパッケージはしばしば本物を模倣しつつ、インストール時に隠された悪意あるコードを実行します。registryの解決ルールではなく、人間のミスを標的にします。
なぜ重要か
依存関係名の一文字のずれが、CIでのインストール中に実行される攻撃者制御のコードを引き込むことがあり、そこでsecretsを窃取されかねません。防御には、解決された正確なパッケージをpinするlockfile、自動化された依存関係レビュー、検証済みのproxyやmirror経由でのみ取得することが含まれます。
関連する概念
- resolverのルールではなく人間のつづり間違いを突く
- lockfileと依存関係レビューがリスクを減らす
- dependency confusionは関連する攻撃
関連ガイド
What Is Dependency Confusion?Dependency confusion is a supply-chain attack where a malicious public package with a private package's name…
What Is a Lockfile?A lockfile records the exact resolved versions and hashes of every dependency, so installs are deterministic…
What Is a Software Supply Chain Attack?A supply chain attack compromises software by tampering with a dependency, build system, or distribution chan…