Un articolo pubblicato di recente dimostra un modo per fare attacchi "typo-squatting" sul popolare pacchetto di programmazione manager. Individua i pip
di Python, i gem
di Ruby e i sistemi npm
del nodo e mostra che hanno due cose in comune:
- I pacchetti possono essere inviati e accettati automaticamente, senza revisione manuale o supervisione umana
- I pacchetti possono far sì che il gestore pacchetti esegua un codice "di installazione" arbitrario sul sistema client al momento dell'installazione.
Ciò significa che è possibile registrare un pacchetto con un nome molto simile a quello di un pacchetto popolare , e ottenere il pacchetto (completo di uno script di installazione dannoso) installato ogni volta che qualcuno digita il nome del pacchetto.
Questo mi fa meravigliare, NuGet ha le stesse due caratteristiche? Ha qualche meccanismo in atto per mitigare gli attacchi di questo tipo?