Repo Jacking（依赖项存储库劫持）是一种供应链攻击，攻击者可以利用该漏洞接管已停用的组织或用户名称，并发布带有恶意代码的篡改版本的存储库。

美国马萨诸塞州的云原生安全公司Aqua在周三的一份报告中表示，目前约上百万GitHub存储库可能容易受到Repo Jacking攻击。研究人员指出，当库所有者更改用户名时，与旧库相关的依赖关系将保留，攻击者可以利用这一漏洞创建与旧用户名相同的用户，破坏依赖关系。攻击者能够通过这种方式污染软件供应链，使以该项目为依赖的代码转而从攻击者控制的库中获取内容。

报告指出，黑客可以利用保存了自2012年以来所有与GitHub相关的信息的网站GHTorrent来扫描特定目标。尽管该网站目前不可用，但其数据集仍然可以访问。研究人员通过分析2019年6月的125万个库的子集，发现有将近3%的库容易受到Repo Jacking攻击。考虑到GitHub上有超过3.3亿个库，这一发现表明数百万个库可能容易受到类似攻击。

研究人员对该问题举了几个真实示例，其中一个受影响的代码库是google/mathsteps，该代码库以前属于Socratic（socraticorg/mathsteps），这是一家在2018年被Google收购的公司。研究人员表示，当用户访问https://github.com/socraticorg/mathsteps时，他正常会被重定向到https://github.com/google/mathsteps，此时用户将获取Google的代码库。然而，由于socraticorg可用，攻击者可以利用socraticorg/mathsteps代码库实现对受害者的任意代码执行。

报告撰写者表示，尽管GitHub近年来一直在试图阻止Repo Jacking，但这些保护措施并不够完善，仍可能被攻击者绕过。安全研究员建议用户采取一定的措施，如定期检查代码中是否存在从外部GitHub库检索资源的链接、并确保存储库的所有权等，以减轻安全风险。

编辑：左右里

资讯来源：Aquasec

转载请注明出处和本文链接

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！