Repo Jacking(依赖项存储库劫持)是一种供应链攻击,攻击者可以利用该漏洞接管已停用的组织或用户名称,并发布带有恶意代码的篡改版本的存储库。
美国马萨诸塞州的云原生安全公司Aqua在周三的一份报告中表示,目前约上百万GitHub存储库可能容易受到Repo Jacking攻击。研究人员指出,当库所有者更改用户名时,与旧库相关的依赖关系将保留,攻击者可以利用这一漏洞创建与旧用户名相同的用户,破坏依赖关系。攻击者能够通过这种方式污染软件供应链,使以该项目为依赖的代码转而从攻击者控制的库中获取内容。
报告指出,黑客可以利用保存了自2012年以来所有与GitHub相关的信息的网站GHTorrent来扫描特定目标。尽管该网站目前不可用,但其数据集仍然可以访问。研究人员通过分析2019年6月的125万个库的子集,发现有将近3%的库容易受到Repo Jacking攻击。考虑到GitHub上有超过3.3亿个库,这一发现表明数百万个库可能容易受到类似攻击。
研究人员对该问题举了几个真实示例,其中一个受影响的代码库是google/mathsteps,该代码库以前属于Socratic(socraticorg/mathsteps),这是一家在2018年被Google收购的公司。研究人员表示,当用户访问https://github.com/socraticorg/mathsteps时,他正常会被重定向到https://github.com/google/mathsteps,此时用户将获取Google的代码库。然而,由于socraticorg可用,攻击者可以利用socraticorg/mathsteps代码库实现对受害者的任意代码执行。
报告撰写者表示,尽管GitHub近年来一直在试图阻止Repo Jacking,但这些保护措施并不够完善,仍可能被攻击者绕过。安全研究员建议用户采取一定的措施,如定期检查代码中是否存在从外部GitHub库检索资源的链接、并确保存储库的所有权等,以减轻安全风险。
编辑:左右里
资讯来源:Aquasec
转载请注明出处和本文链接
C2
C2 全称为 Command and Control,命令与控制,常见于 APT 攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解释时理解为攻击者的“基础设施”。
﹀
球分享
球点赞
球在看
原文始发于微信公众号(看雪学苑):报告显示,数百万个GitHub存储库易受Repo Jacking攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论