报告显示,数百万个GitHub存储库易受Repo Jacking攻击
2023-6-25 18:1:34 Author: 看雪学苑(查看原文) 阅读量:26 收藏

Repo Jacking(依赖项存储库劫持)是一种供应链攻击,攻击者可以利用该漏洞接管已停用的组织或用户名称,并发布带有恶意代码的篡改版本的存储库。

美国马萨诸塞州的云原生安全公司Aqua在周三的一份报告中表示,目前约上百万GitHub存储库可能容易受到Repo Jacking攻击。研究人员指出,当库所有者更改用户名时,与旧库相关的依赖关系将保留,攻击者可以利用这一漏洞创建与旧用户名相同的用户,破坏依赖关系。攻击者能够通过这种方式污染软件供应链,使以该项目为依赖的代码转而从攻击者控制的库中获取内容。

报告指出,黑客可以利用保存了自2012年以来所有与GitHub相关的信息的网站GHTorrent来扫描特定目标。尽管该网站目前不可用,但其数据集仍然可以访问。研究人员通过分析2019年6月的125万个库的子集,发现有将近3%的库容易受到Repo Jacking攻击。考虑到GitHub上有超过3.3亿个库,这一发现表明数百万个库可能容易受到类似攻击。

研究人员对该问题举了几个真实示例,其中一个受影响的代码库是google/mathsteps,该代码库以前属于Socratic(socraticorg/mathsteps),这是一家在2018年被Google收购的公司。研究人员表示,当用户访问https://github.com/socraticorg/mathsteps时,他正常会被重定向到https://github.com/google/mathsteps,此时用户将获取Google的代码库。然而,由于socraticorg可用,攻击者可以利用socraticorg/mathsteps代码库实现对受害者的任意代码执行。

报告撰写者表示,尽管GitHub近年来一直在试图阻止Repo Jacking,但这些保护措施并不够完善,仍可能被攻击者绕过。安全研究员建议用户采取一定的措施,如定期检查代码中是否存在从外部GitHub库检索资源的链接、并确保存储库的所有权等,以减轻安全风险。

编辑:左右里

资讯来源:Aquasec

转载请注明出处和本文链接

每日涨知识

C2 

C2 全称为 Command and Control,命令与控制,常见于 APT 攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解释时理解为攻击者的“基础设施”。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458508021&idx=2&sn=d4f1e19c3575155e341e2648f71fa6e2&chksm=b18eea7f86f96369feebc24fd7649c54d3eeda337fb2144edeeb9292a56b99987dc541b05cca#rd
如有侵权请联系:admin#unsafe.sh