Em meio a tantos links, nomes de pacotes, aplicativos e páginas de login, é fácil passar por cima de um detalhe que parece pequeno. À primeira vista, uma letra trocada ou um nome “quase igual” pode soar como um erro sem importância. Na prática, esse tipo de semelhança pode abrir espaço para fraudes, roubo de credenciais e até ataques à cadeia de suprimentos de software.
O typosquatting existe justamente porque a pressa e a confiança fazem parte da rotina digital. Ele aproveita o hábito de aceitar nomes familiares sem checagem cuidadosa. Em 2026, porém, esse tipo de ameaça já não depende só de digitação apressada. Pesquisadores e especialistas em segurança mostram que o golpe ganhou novas camadas, com automação, imitação visual e até abuso de ferramentas de inteligência artificial.
O que é um ataque de typosquatting?
Typosquatting é uma técnica em que um atacante registra um nome muito parecido com outro legítimo para enganar pessoas e sistemas. Isso pode acontecer com domínios na internet ou com nomes de pacotes em repositórios de software. O objetivo é simples: fazer a vítima acreditar que está acessando ou instalando algo confiável, quando na verdade está interagindo com um ativo controlado pelo atacante.
No caso dos domínios, a estratégia costuma explorar pequenos deslizes, como letras omitidas, trocadas ou repetidas. Já no caso de pacotes, a semelhança pode vir em forma de prefixos, sufixos, ordem de palavras ou combinações que lembram um projeto conhecido. Em ambos os cenários, a aparência de legitimidade é o principal recurso do golpe.
Esse tipo de ameaça ganhou destaque porque o nome, antes visto como detalhe, passou a ser tratado como uma fronteira de segurança cibernética. Quando uma marca, um portal de login ou uma biblioteca popular é copiada com pequenas variações, o risco deixa de ser apenas de confusão visual e passa a incluir tomada de conta, interceptação de dados e comprometimento de ambientes de produção.
Como esse ataque cibernético funciona?
Na forma clássica, o typosquatting se apoia em erros previsíveis. Um usuário digita rápido e troca uma letra. Um desenvolvedor busca um pacote conhecido e confunde o nome. Um funcionário clica em um endereço visualmente parecido com o da empresa. O atacante registra essas variações antes da vítima e espera o tráfego, a instalação ou a visita indevida.
Em domínios, isso pode significar páginas falsas que imitam sites reais e pedem login, senha ou pagamento. Em ecossistemas de software, o impacto é ainda mais sensível, porque um pacote malicioso pode ser executado durante a instalação, dentro de pipelines de build e até em ambientes de produção. Estudos técnicos recentes mostram exemplos de pacotes com nomes muito próximos aos legítimos, criados justamente para se infiltrar em fluxos automatizados.
Há também técnicas mais sofisticadas. Especialistas citam o uso de homoglifos, isto é, caracteres visualmente parecidos; trocas na ordem de palavras; remoção ou inclusão de hífens e sublinhados; e combinações que parecem “oficiais” por seguir padrões conhecidos de nomenclatura. Em vez de apostar apenas no erro de digitação, o atacante passa a trabalhar com percepção, contexto e familiaridade.
Outro ponto importante é que esse tipo de ataque já não depende exclusivamente de ação manual. Campanhas em larga escala mostram uso de automação para gerar e publicar grandes volumes de variações suspeitas, especialmente em repositórios públicos de pacotes. Isso aumenta a chance de alguma versão parecer crível o bastante para passar por uma revisão apressada.
Exemplos reais de typosquatting
Embora o conceito pareça simples, os impactos do typosquatting podem ser significativos. Ao longo dos anos, pesquisadores de segurança identificaram inúmeros casos envolvendo domínios fraudulentos e pacotes maliciosos criados para se passar por serviços, empresas e bibliotecas legítimas.
O objetivo quase sempre é o mesmo: explorar a familiaridade do nome para induzir usuários ou desenvolvedores ao erro. Em muitos casos, basta uma única letra alterada para que a fraude passe despercebida. Essa é uma das razões pelas quais o typosquatting continua sendo uma ameaça tão eficiente, mesmo em um cenário de segurança cada vez mais sofisticado.
Alguns exemplos conhecidos incluem:
-
gogle.com: variação do domínio Google, criada a partir da remoção de uma letra.
-
paypa1.com: substituição da letra "l" pelo número "1" para imitar o domínio do PayPal.
-
faacebook.com: exemplo clássico de duplicação de caractere para reproduzir a aparência do Facebook.
-
micrsoft.com: omissão de uma letra para criar uma versão visualmente semelhante ao domínio da Microsoft.
-
core-tracing: pacote malicioso publicado no npm para se passar pela biblioteca legítima @azure/core-tracing, utilizada em projetos do ecossistema Azure.
-
@acitons/artifact: pacote malicioso identificado em campanhas recentes que imitava o pacote legítimo @actions/artifact, amplamente utilizado em ambientes GitHub Actions.
O que torna esses casos particularmente interessantes é que eles demonstram a evolução do problema. Se antes o typosquatting dependia principalmente de erros de digitação cometidos por usuários, hoje ele também explora processos automatizados, dependências de software e até sugestões geradas por ferramentas de inteligência artificial.
Como o typosquatting está evoluindo?
O typosquatting está evoluindo porque o ambiente também mudou. Hoje há mais automação, mais dependência de pacotes externos e mais fluxos de desenvolvimento apoiados por ferramentas de IA. Nesse cenário, a ameaça deixou de mirar apenas o usuário final e passou a mirar também o desenvolvedor, o pipeline e a própria cadeia de suprimentos de software.
Um dos sinais mais claros dessa mudança é que o ataque agora explora não só a semelhança gráfica, mas também a semelhança semântica. Em vez de procurar um nome que seja apenas uma cópia mal escrita, o atacante cria algo que “soa certo” dentro do ecossistema. Esse tipo de mimetismo pode enganar tanto pessoas quanto ferramentas automatizadas que foram treinadas para confiar em padrões comuns de nomenclatura.
A expansão para o universo da inteligência artificial trouxe uma nova categoria de risco: o slopsquatting. Especialistas descrevem esse fenômeno como a exploração de nomes de pacotes que modelos de linguagem “inventam” ou sugerem de forma plausível, embora tais pacotes não existam. O atacante monitora essas saídas, registra os nomes no repositório público e espera que alguém copie a sugestão da IA sem verificar a existência real do pacote.
Esse ponto é especialmente delicado porque a IA vem sendo usada com mais frequência na escrita de código e na recomendação de dependências. Estudos técnicos citados por especialistas indicam que uma parcela relevante de nomes “alucinados” acabou se tornando upload malicioso em repositórios públicos, enquanto modelos líderes ainda apresentavam taxas significativas de sugestão de pacotes inexistentes. Em outras palavras, a IA não criou o problema, mas ampliou a superfície de risco.
Há ainda uma mudança comportamental importante. Pesquisadores do setor observam que parte dos desenvolvedores passou a aceitar mais código gerado por IA com menos revisão do que seria ideal. Quando isso se combina com slopsquatting, o risco cresce em duas pontas: a da confiança excessiva na ferramenta e a da exploração imediata por atacantes que registram nomes fantasmas antes que alguém perceba o erro.
Impactos e proteção: como evitar?
Os impactos do typosquatting são amplos. Em domínios, o alvo pode ser senha, cookie de sessão, dado de pagamento ou informação corporativa. Em software, o dano pode envolver token de build, chave de deploy, segredo de nuvem ou acesso a ambientes internos. O que parecia um simples nome parecido pode se transformar em comprometimento de contas, vazamento de credenciais e interrupção operacional.
Para empresas, o problema vai além do incidente isolado. Uma dependência falsa pode se espalhar por vários projetos. Um domínio malicioso pode ser usado em campanhas de phishing com aparência profissional. Um pacote registrado para aproveitar uma sugestão de IA pode entrar no fluxo de desenvolvimento antes que haja qualquer alerta. Por isso, especialistas tratam typosquatting como risco de identidade, de reputação e de cadeia de suprimentos ao mesmo tempo.
A proteção começa pela atenção aos nomes. Mas não basta confiar apenas no olhar humano, porque as versões modernas do ataque foram desenhadas justamente para parecerem normais. Estudos técnicos mostram que combinar distância de edição com análise de homoglifos, padrões de nomenclatura, comportamento de publicação e sinais de reputação aumenta bastante a chance de detecção.
No contexto de software, especialistas recomendam governança mais rígida sobre dependências. Isso inclui uso de fontes controladas, políticas automáticas de quarentena, validação de procedência, monitoramento de atividade suspeita e revisão mais criteriosa antes de permitir a entrada de novos pacotes em ambientes internos. Em repositórios públicos, o uso de inteligência de ameaça e dados de reputação ajuda a identificar pacotes de risco com mais antecedência.
No contexto corporativo, também vale cuidar de domínios e comunicação. Monitorar registros semelhantes aos da marca, proteger canais de login e adotar mecanismos robustos de autenticação de e-mail reduz o espaço para falsificação. Como o typosquatting explora confiança visual, qualquer camada que torne a verificação mais automática e menos dependente da pressa do usuário tende a melhorar a defesa.
Para equipes técnicas, a regra prática é clara: dependência nova não deve entrar sem contexto. Nome parecido não é prova de confiança. Sugestão de IA não é validação. Aparência conhecida não é garantia de legitimidade. Quanto mais crítico for o ambiente, mais importante será combinar validação automatizada, revisão humana e políticas de bloqueio antes da instalação ou publicação.
No fim, o typosquatting continua perigoso porque se apoia em um traço profundamente humano: confiar no que parece familiar. A diferença é que, agora, essa familiaridade pode ser fabricada em escala, com automação e inteligência artificial. Entender essa evolução é o primeiro passo para não tratar como detalhe aquilo que, na prática, pode ser a porta de entrada para um incidente sério.
2º PAINEL ESKIVE - Cibercrime e a Epidemia de Insiders
Assista ao debate multifacetado entre nossa CEO, Priscila Meyer, e especialistas do mercado sobre a “febre” das ameaças internas e como o ecossistema de segurança está lidando com o fenômeno. ⭣
