O typosquatting deixou de ser um golpe para desavisados que digitam uma URL errada. Agora, os atacantes registram nomes de domínio quase idênticos a bibliotecas de software populares. Quando um desenvolvedor comete um erro de digitação ao instalar um pacote, seu sistema de integração contínua baixa código malicioso sem que ninguém perceba. O problema escala de um usuário para toda a cadeia de suprimentos.
Como os atacantes exploram os processos automatizados 🔍
Os atacantes publicam pacotes em repositórios públicos como npm ou PyPI com nomes como requets em vez de requests. As ferramentas de CI/CD, que executam instalações sem supervisão humana, são o alvo perfeito. Ao não verificar cada dependência, o sistema baixa o pacote malicioso. Uma vez dentro, o código pode roubar credenciais, injetar portas dos fundos ou modificar o binário final. A detecção é complexa porque o nome é quase idêntico ao legítimo.
O desenvolvedor que digitou errado e implantou um backdoor 🛠️
Imagine um desenvolvedor com sono escrevendo pip install collerful-stuff em vez de colorful-stuff. Seu CI aceita feliz, sem questionar. O pacote malicioso é instalado, cumprimenta o atacante e abre uma VPN privada para o banco de dados de produção. Tudo por uma letra de diferença. O pior é que o desenvolvedor culpa o teclado, mas o verdadeiro culpado é o sistema que confia cegamente em qualquer nome que se pareça com o correto.