Skip to content
Latchkey

O Que É Dependency Confusion?

Dependency confusion é um ataque de supply chain que explora gerenciadores de pacotes que podem buscar tanto em registries internos quanto públicos. Um atacante publica um pacote público usando o nome de um pacote privado da empresa, muitas vezes em uma versão mais alta, para que o resolver busque o código do atacante em vez do interno. Ele pode executar silenciosamente código malicioso nos builds.

Por que isso importa

Se um build consegue alcançar tanto um feed privado quanto um registry público sem uma regra clara de precedência, um atacante só precisa adivinhar o nome de um pacote interno para injetar código. As defesas incluem dar scope ou namespacing aos pacotes privados, fixar (pin) as fontes e rotear todas as buscas de dependência por um proxy ou mirror controlado.

Conceitos relacionados

  • Explora a resolução ambígua entre interno e público
  • Mitigada por namespacing e pinning de fontes
  • Typosquatting é um ataque de nomenclatura relacionado

Guias relacionados