单词本:typosquatting
在看供应链上的信息安全攻击(CISA 2021)时,看到一个案例。
In 2018, researchers discovered 12 malicious Python libraries uploaded on the official Python Package Index (PyPI). The attacker used typosquatting tactics by creating libraries titled “diango,”“djago,”“dajngo,” etc., to lure developers seeking the popular“ django ” Python library.
这里说 2018 年的时候,有黑客往 Python 的开源软件包管理服务器中提交了 12 个恶意软件包。这些软件包和很流行的“ django ”只是有几个字母的差别,从而让不熟悉的人很容易下载错。一旦下载错了,这些软件包就可以被用来进行后续攻击。
这种攻击行为成为typosquatting attack。 typo 的意思就是拼写错误,是 typographical error 的简写。而 squat 的意思是 to sit on your heels with your knees bent up close to your body (Oxford Dictionary 2024),也就是蹲下的意思。也有擅自占用土地的意思。
例如They ended up squatting in the empty houses on Oxford Road.他们落得在牛津路私自占据他人空房而度日。(金山词霸 2024)
这样看来,typosquatting 理解为利用拼写错误而非法占用比较恰当了。
其他 typosquatting 攻击还可以通过相似的 URL 伪造网站,比如 g0ogle.com, baldu.com 等。
这个词在维基百科上叫误植域名,也叫 URL 劫持。这就把它的范围给缩小了。
References