Typosquatting ist kein Betrug mehr nur für Unvorsichtige, die eine URL falsch eingeben. Heute registrieren Angreifer Domainnamen, die fast identisch mit denen beliebter Softwarebibliotheken sind. Wenn ein Entwickler bei der Installation eines Pakets einen Tippfehler macht, lädt sein Continuous-Integration-System bösartigen Code herunter, ohne dass es jemand bemerkt. Das Problem eskaliert von einem einzelnen Benutzer auf die gesamte Lieferkette.
Wie Angreifer automatisierte Prozesse ausnutzen 🔍
Angreifer veröffentlichen Pakete in öffentlichen Repositories wie npm oder PyPI mit Namen wie requets anstelle von requests. CI/CD-Tools, die Installationen ohne menschliche Aufsicht durchführen, sind das perfekte Ziel. Da sie nicht jede Abhängigkeit überprüfen, lädt das System das bösartige Paket herunter. Einmal im System, kann der Code Anmeldeinformationen stehlen, Hintertüren einbauen oder die endgültige Binärdatei modifizieren. Die Erkennung ist komplex, da der Name fast identisch mit dem legitimen ist.
Der Entwickler, der sich vertippte und eine Hintertür ausrollte 🛠️
Stell dir einen müden Entwickler vor, der pip install collerful-stuff statt colorful-stuff eingibt. Sein CI akzeptiert es freudig, ohne nachzufragen. Das bösartige Paket wird installiert, begrüßt den Angreifer und öffnet ihm ein privates VPN zur Produktionsdatenbank. Alles nur wegen eines einzigen Buchstabens Unterschied. Das Schlimmste ist, dass der Entwickler der Tastatur die Schuld gibt, aber der wahre Schuldige ist das System, das blind jedem Namen vertraut, der dem richtigen ähnelt.