Skip to content
Latchkey

O Que É Typosquatting?

Typosquatting é um ataque de supply chain onde um adversário registra nomes de pacotes que são quase-erros de digitação de bibliotecas populares, na esperança de que um desenvolvedor digite o nome errado e instale a versão maliciosa. O pacote falso frequentemente imita o real enquanto roda código malicioso oculto na instalação. Ele mira o erro humano em vez das regras de resolução do registry.

Por que isso importa

Um único caractere trocado em um nome de dependência pode puxar código controlado pelo atacante que roda durante a instalação no CI, onde pode exfiltrar secrets. As defesas incluem lockfiles que fixam (pin) os pacotes resolvidos exatos, revisão automatizada de dependências e puxar apenas por um proxy ou mirror homologado.

Conceitos relacionados

  • Explora o erro de digitação humano, não as regras do resolver
  • Lockfiles e revisão de dependências reduzem o risco
  • Dependency confusion é um ataque relacionado

Guias relacionados