Bien que les packages copycat et le typosquatting soient des concepts liés, ils ne sont pas identiques. Les deux impliquent des tactiques trompeuses pour inciter les utilisateurs à télécharger des logiciels malveillants, mais ils le font de manière légèrement différente. Voici une explication détaillée de chacun :
Typosquattage
Le typosquatting consiste à enregistrer des noms de domaine ou des noms de packages très similaires à des noms légitimes, qui diffèrent souvent par une simple erreur typographique. L'objectif est de tromper les utilisateurs qui font des erreurs lors de la saisie d'une URL ou du nom d'un package, en les conduisant vers des sites ou des logiciels malveillants au lieu des sites légitimes prévus.
Exemple :
Forfait légitime: Express.
Variantes de packages typosquattés: exprime (il manque un 's'), exprime(Suppléments'), or exprimer (double 'e').
Typosquatting de cas réels :
En novembre 2018, des chercheurs en sécurité ont identifié et supprimé un package JavaScript malveillant appelé flatmap-stream de l'écosystème NPM. Un attaquant a introduit la modification néfaste dans ce package, puis l'a ajoutée en tant que dépendance directe au package de flux d'événements populaire. Les utilisateurs ont téléchargé cette version malveillante de flatmap-stream près de 8 millions de fois. Les développeurs qui ont utilisé le package de flux d'événements compromis se sont exposés par inadvertance au code malveillant.
Ici, l’accent est mis sur les légères fautes d’orthographe ou les variations qui exploitent les erreurs de frappe courantes.
Forfaits copieurs
Les packages Copycat impliquent la création de packages malveillants qui imitent des packages populaires et légitimes. En particulier, cette imitation peut aller au-delà de légères fautes d’orthographe et peut également inclure des noms, des descriptions, une documentation et des fonctionnalités similaires pour donner au package malveillant une apparence légitime et digne de confiance.
Exemple :
Forfait légitime: Lodash
Variantes du package Copycat: lodashjs, lodash-outils, ou même un package du même nom mais téléchargé par un auteur différent dans un référentiel moins sécurisé
Cas concret :
Considérez la populaire application Laravel open source basée sur PHP appelée laravel-realworld-example-app. Cette application contient des exemples concrets (opérations CRUD, authentification, modèles avancés, etc.) de la spécification API RealWorld. Bien que le package légitime serve de référence, un package copycat pourrait l'imiter en utilisant un nom similaire (par exemple, laravel-realworld-example-apps ou laravel-realworld-examples). De tels packages de copie peuvent inclure des fonctionnalités, des descriptions et même une documentation similaires, incitant les développeurs à les utiliser à la place de la version authentique.
L'accent est ici mis sur une imitation plus large qui inclut non seulement les noms mais également des aspects de la présentation et des fonctionnalités légitimes du package.
Différences Clés
Domaines d’intérêt :
Le typosquatting cible principalement les erreurs typographiques commises par les utilisateurs.
Les packages Copycat visent à imiter plus largement les packages légitimes, incluant potentiellement des noms, des descriptions et des fonctionnalités similaires.
Portée de l'imitation :
Le typosquatting implique généralement des modifications mineures dans le nom du package.
Les packages Copycat peuvent impliquer une imitation plus complète, ce qui les rend encore plus convaincants.
Chevauchement
Il existe un chevauchement entre les deux concepts, car les packages typosquattés peuvent être considérés comme un sous-ensemble de packages copiés. Les deux tactiques visent à inciter les utilisateurs à installer des logiciels malveillants, mais le typosquatting exploite les erreurs de frappe courantes, tandis que les packages de copie peuvent utiliser un plus large éventail de stratégies d'imitation.
Stratégies d'atténuation
Pour se protéger efficacement contre le typosquatting et les packages copiés, les organisations doivent adopter une approche à multiples facettes qui intègre des stratégies traditionnelles et des solutions avancées comme notre XygéniOpen Source Security Solution. Voici des stratégies clés pour atténuer ces risques :
- Utiliser des sources fiables: Avant tout, téléchargez toujours les packages à partir de sources fiables et vérifiées ou de référentiels officiels pour garantir l'authenticité.
- Épinglage de dépendance: De plus, épinglez les dépendances à des versions spécifiques et vérifiées pour maintenir la cohérence et la sécurité dans vos déploiements.
- Outils automatisés: De plus, exploitez des outils automatisés tels que Xygeni pour rechercher et signaler efficacement les packages suspects. Les capacités de détection avancées de Xygeni sont conçues pour identifier et gérer efficacement les dépendances suspectes, fournissant ainsi une couche de sécurité supplémentaire.
- Vérification manuelle: De plus, complétez les outils automatisés par une vérification manuelle, en particulier pour les packages nouvellement ajoutés ou ceux qui ont récemment subi des mises à jour importantes.
- Réservation d'espace de noms: Pour empêcher le détournement par des acteurs malveillants, enregistrez et contrôlez les packages d'espaces de noms dans des référentiels publics. Cette mesure proactive garantit que seules les mises à jour et les packages autorisés sont associés à l'espace de noms de votre organisation.
En intégrant ces stratégies aux capacités robustes de nos outils Xygeni, les organisations peuvent renforcer leurs défenses contre les menaces évolutives de typosquattage et de copie de packages, améliorant ainsi la sécurité globale de leur chaîne d'approvisionnement logicielle.
