Hasło słownika
Dependency confusion
Atak polegający na „podstawieniu” pakietu o tej samej nazwie co wewnętrzna zależność, tak aby system buildowania pobrał złośliwą wersję z publicznego rejestru.
Cyberbezpieczeństwokategoria
1aliasy
Dependency confusion attack
Opis
Najczęściej dotyczy ekosystemów z automatycznym rozwiązywaniem zależności (npm/pip/Maven). Obrona to m.in. prywatne registry z restrykcjami, pinning wersji, scope'y nazw, blokowanie pobrań z publicznych źródeł dla pakietów firmowych oraz SCA/SBOM.
Przykłady
- W firmie istnieje wewnętrzny pakiet „auth-utils”; atakujący publikuje go publicznie i build ściąga „nowszą” wersję.
- CI wykonuje skrypt z paczki, która podszywa się pod zależność.