El typosquatting ha dejado de ser una estafa para incautos que teclean mal una URL. Ahora, los atacantes registran nombres de dominio casi idénticos a bibliotecas de software populares. Cuando un desarrollador comete un error tipográfico al instalar un paquete, su sistema de integración continua descarga código malicioso sin que nadie lo note. El problema escala de un usuario a toda la cadena de suministro.
Cómo los atacantes explotan los procesos automatizados 🔍
Los atacantes publican paquetes en repositorios públicos como npm o PyPI con nombres como requets en lugar de requests. Las herramientas de CI/CD, que ejecutan instalaciones sin supervisión humana, son el blanco perfecto. Al no verificar cada dependencia, el sistema descarga el paquete malicioso. Una vez dentro, el código puede robar credenciales, inyectar puertas traseras o modificar el binario final. La detección es compleja porque el nombre es casi idéntico al legítimo.
El desarrollador que tecleó mal y desplegó un backdoor 🛠️
Imagina a un desarrollador con sueño escribiendo pip install collerful-stuff en lugar de colorful-stuff. Su CI lo acepta feliz, sin preguntar. El paquete malicioso se instala, saluda al atacante y le abre una VPN privada a la base de datos de producción. Todo por una letra de diferencia. Lo peor es que el desarrollador culpa al teclado, pero el verdadero culpable es el sistema que confía ciegamente en cualquier nombre que se parezca al correcto.