警报：数百万个 GitHub 存储库可能容易受到 RepoJacking 攻击

您是否接触过RepoJacking ？

可以问自己；我拥有的存储库是否直接或间接容易受到 RepoJacking 的攻击？

简单的回答是，暴露的可能性是无限的。如果认为自己可能会暴露，应该问一些基本问题。

• 对组织了解多少？
• 之前使用过的所有 GitHub 组织名称是什么？
• 组织是否参与过任何合并和收购？
• 代码中是否存在任何导致 GitHub 存储库容易受到 RepoJacking 攻击的依赖项？
• 是否有指导（文档、指南、Stack Overflow 答案等）建议应该使用易受 RepoJacking 攻击的 GitHub 存储库？

如上所述，暴露的可能性是无限的，根据这些问题的答案，您可能会发现组织很容易受到攻击。

一项新研究显示， GitHub 上数百万个软件存储库可能容易受到名为RepoJacking的攻击。

总部位于马萨诸塞州的云原生安全公司 Aqua 在周三的一份报告中表示，这包括来自谷歌、Lyft 和其他几家组织的存储库。

供应链漏洞也称为依赖存储库劫持，是一类攻击，可以接管已退休的组织或用户名并发布存储库的木马版本以运行恶意代码。

研究人员 Ilay Goldman 和 Yakir Kadkoda 表示：“当存储库所有者更改用户名时，会在旧名称和新名称之间创建一个链接，供从旧存储库下载依赖项的任何人使用。” “但是，任何人都可以创建旧用户名并破坏此链接。”

或者，当存储库所有权转移给另一个用户并且原始帐户被删除时，可能会出现类似的情况，从而允许不良行为者使用旧用户名创建帐户。

换句话说，RepoJacking 是一种攻击，攻击者注册用户名并创建与组织同名的存储库，但此后删除了该帐户或切换到不同的用户名。

这样做会导致将上述项目作为依赖项的代码从攻击者控制的存储库中获取内容，从而毒害软件供应链。

Aqua 表示，威胁行为者可以利用 GHTorrent 等网站提取与任何公共提交和拉取请求相关的 GitHub 元数据，以编译唯一存储库列表。

对 2019 年 6 月 125 万个存储库子集的分析显示，多达 36,983 个存储库容易受到 RepoJacking 的攻击，成功率为 2.95%。

由于 GitHub 包含超过 3.3 亿个存储库，调查结果表明数百万个存储库可能容易受到类似的攻击。

其中一个存储库是 google/mathsteps，它之前属于 Socratic (socraticorg/mathsteps)，该公司于 2018 年被 Google 收购。

发现隐藏的风险并保护您的组织免受网络威胁。使用 NetSPI 的攻击面管理来控制您的攻击面。

研究人员表示：“当您访问 https://github.com/socraticorg/mathsteps 时，您将被重定向到 https://github.com/google/mathsteps，因此最终用户将获取 Google 的存储库。”

“但是，由于 socraticorg 组织可用，攻击者可以打开 socraticorg/mathsteps 存储库，并且按照 Google 的指示的用户将克隆攻击者的存储库。并且由于 npm 安装，这将导致用户执行任意代码。”

这并不是第一次提出此类担忧。2022 年 10 月，GitHub 采取行动，堵塞了一个安全漏洞，该漏洞可能被用来创建恶意存储库，并通过规避流行的存储库命名空间停用来发起供应链攻击。

为了减轻此类风险，建议用户定期检查其代码中是否存在可能从外部 GitHub 存储库检索资源的链接。

研究人员表示：“如果您更改组织名称，请确保您仍然拥有以前的名称，即使是作为占位符，以防止攻击者创建它。”

原文始发于微信公众号（祺印说信安）：警报：数百万个 GitHub 存储库可能容易受到 RepoJacking 攻击