Sélectionner une page


Citations typo

Les attaquants utilisent divers types d’astuces pour inciter les développeurs à utiliser des composants logiciels malveillants dans leurs applications, y compris des erreurs de frappe. Typo fait référence à tirer parti des erreurs typographiques en utilisant des noms similaires à d’autres packages. En règle générale, si quelqu’un fait une erreur en tapant le nom d’un composant, cette personne devrait obtenir une erreur car il n’existe pas. Les attaquants créent des composants avec des variations communes. Cela signifie qu’aucun message d’erreur ne sera affiché et que la personne ne connaîtra pas l’erreur.

Les quatre packages JavaScript qui ont été supprimés de npm en septembre sont des exemples d’erreurs typographiques. le Électeur Le paquet était une faute d’orthographe de électron, un cadre pour l’écriture d’applications de bureau multiplateformes à l’aide de JavaScript, HTML et CSS. étaient des versions mal orthographiées de packages populaires et constituaient une forme d’attaque de faute de frappe.

ReversingLabs Constructeur BB, un package JavaScript qui a volé les informations d’identification de l’utilisateur et soupçonné qu’il essayait probablement de tromper les développeurs à la recherche de celui bb-construire Paquet écrit Tomislav Peričin, l’architecte logiciel en chef et co-fondateur de ReversingLabs.

Les attaquants ont plus que semé des RubyGems avec 760 gemmes malveillantes Les chercheurs de ReversingLabs ont déclaré en avril qu’ils utilisaient des noms qui ne différaient que légèrement des bibliothèques de codes standard. le Client Atlas Gem essayant de faire la même chose que Jolie_Couleur L’échange d’adresses de portefeuille de cryptomining dans le presse-papiers était une faute d’orthographe du atlas_client gem utilisé pour accéder à une API. Le joyau malveillant a été téléchargé plus de 2 000 fois.

Les référentiels sales causent des dommages importants à la sécurité des logiciels, car les composants nuisibles peuvent avoir un effet en cascade. Même si le développeur n’inclut pas ces packages spécifiques dans l’application, cette application sera en danger si ces packages sont inclus dans un autre package utilisé par l’application. À l’aide d’outils d’analyse des dépendances tels que ceux fournis par GitHub, les développeurs peuvent identifier ces composants imbriqués problématiques.

Les référentiels logiciels, les gestionnaires de packages et les bases de données de vulnérabilités sont tous des composants nécessaires de la chaîne logistique logicielle, tout comme les développeurs et les utilisateurs finaux qui les utilisent.  » Linux Foundation a déclaré en février. «À moins que les faiblesses de leurs conceptions et processus actuels ne soient corrigées, ils continueront d’exposer les entreprises et les développeurs qui comptent sur eux à des risques importants.



Source link

Recent Posts