Skip to content
Latchkey

タイポスクワッティングとは?

タイポスクワッティングは、攻撃者が人気ライブラリのつづり間違いに近いパッケージ名を登録し、開発者が名前を打ち間違えて悪意あるバージョンをインストールすることを狙うサプライチェーン攻撃です。偽のパッケージはしばしば本物を模倣しつつ、インストール時に隠された悪意あるコードを実行します。registryの解決ルールではなく、人間のミスを標的にします。

なぜ重要か

依存関係名の一文字のずれが、CIでのインストール中に実行される攻撃者制御のコードを引き込むことがあり、そこでsecretsを窃取されかねません。防御には、解決された正確なパッケージをpinするlockfile、自動化された依存関係レビュー、検証済みのproxyやmirror経由でのみ取得することが含まれます。

関連する概念

  • resolverのルールではなく人間のつづり間違いを突く
  • lockfileと依存関係レビューがリスクを減らす
  • dependency confusionは関連する攻撃

関連ガイド