タイポスクワッティングは、もはやURLを打ち間違えた無防備な人を狙った詐欺ではありません。現在、攻撃者は人気のあるソフトウェアライブラリとほぼ同一のドメイン名を登録します。開発者がパッケージをインストールする際にタイプミスを犯すと、彼らの継続的インテグレーションシステムが誰にも気づかれずに悪意のあるコードをダウンロードします。問題は一人のユーザーからサプライチェーン全体へと拡大します。
攻撃者が自動化プロセスを悪用する方法 🔍
攻撃者は、npmやPyPIなどの公開リポジトリに、requestsの代わりにrequetsのような名前のパッケージを公開します。人間の監視なしでインストールを実行するCI/CDツールは完璧な標的です。各依存関係を検証しないため、システムは悪意のあるパッケージをダウンロードします。一度侵入されると、コードは認証情報を盗んだり、バックドアを仕込んだり、最終的なバイナリを改ざんしたりする可能性があります。名前が正規のものとほぼ同一であるため、検出は困難です。
タイプミスをしてバックドアをデプロイした開発者 🛠️
眠そうな開発者がcolorful-stuffの代わりにpip install collerful-stuffと入力する場面を想像してください。彼のCIは何も尋ねずに喜んでそれを受け入れます。悪意のあるパッケージがインストールされ、攻撃者に挨拶し、本番データベースへのプライベートVPNを開きます。すべてはたった一文字の違いによるものです。最悪なのは、開発者がキーボードのせいにする一方で、本当の原因は正しい名前に似た名前を盲目的に信頼するシステムにあることです。