O Que É Typosquatting?
Typosquatting é um ataque de supply chain onde um adversário registra nomes de pacotes que são quase-erros de digitação de bibliotecas populares, na esperança de que um desenvolvedor digite o nome errado e instale a versão maliciosa. O pacote falso frequentemente imita o real enquanto roda código malicioso oculto na instalação. Ele mira o erro humano em vez das regras de resolução do registry.
Por que isso importa
Um único caractere trocado em um nome de dependência pode puxar código controlado pelo atacante que roda durante a instalação no CI, onde pode exfiltrar secrets. As defesas incluem lockfiles que fixam (pin) os pacotes resolvidos exatos, revisão automatizada de dependências e puxar apenas por um proxy ou mirror homologado.
Conceitos relacionados
- Explora o erro de digitação humano, não as regras do resolver
- Lockfiles e revisão de dependências reduzem o risco
- Dependency confusion é um ataque relacionado
Guias relacionados
What Is Dependency Confusion?Dependency confusion is a supply-chain attack where a malicious public package with a private package's name…
What Is a Lockfile?A lockfile records the exact resolved versions and hashes of every dependency, so installs are deterministic…
What Is a Software Supply Chain Attack?A supply chain attack compromises software by tampering with a dependency, build system, or distribution chan…