聚焦源代码安全,网罗国内外最新资讯!
AquaSec 公司的安全团队 Nautilus 分析了125万个 GitHub 仓库后发现约2.95%的仓库易受 RepoJacking 攻击。按照比例扩展到 GitHub 的3亿多个仓库后,研究人员预计该漏洞影响大约900万个项目。
GitHub 上经常发生用户名和仓库名称变更,这样做的原因是组织机构可通过收购或合并获得新的管理,或者转换到新的品牌名称。发生这种情况后,重定向会被创建,避免破坏使用了更改名称的仓库代码的项目依赖;然而,如果有人注册了旧名称,则这种重定向就是无效的。
RepoJacking 是指恶意人员注册了一个用户名并创建了组织机构在过去所使用但之后更改了名称的仓库。这样做导致依靠于受攻击项目依赖的任何项目或任何代码从受攻击者控制的仓库中提取依赖和代码,而这类仓库中可能包含恶意软件。GitHub 了解这种可能性并执行了一些防御措施。然而,AquaSec 公司报告指出,目前来看,这些解决方案不完整且易被绕过。例如,GitHub 仅保护流行度较高的项目,但这些项目可能使用了不太流行的且易受攻击仓库的未被涵盖在内的依赖,因此供应链攻击也影响此类项目。
另外,GitHub 保护那些更名前的超过100个克隆的仓库,然而不涵盖那些更名后或所有权变更后变得热门的项目。
为了强调问题的重要性,AquaSec 扫描了著名组织机构中存在的易受攻击仓库并在由谷歌和 Lyft 所管理的仓库中发现了易受攻击的案例。
在谷歌案例中,包含如何构建热门项目Mathsteps 指南的一份 readme 文件指向一个属于 Socratic 公司的 GitHub 仓库,该公司由谷歌在2018年收购且目前已不存在。由于攻击者可克隆该仓库破坏重定向,因此按照 readme 指南行动的用户本可从恶意仓库中下载恶意代码。另外,由于该指南中包含依赖相关的 “npm install”命令,因此攻击者代码可能在毫不察觉的用户设备上实现任意代码执行。
在Lyft 案例中,攻击更为自动化,因为 AquaSec 在该公司的仓库上发现一个安装脚本,从另外一个易受 RepoJacking 的仓库中提取 ZIP 文档。通过正确名称(“YesGraph”和 “Dominus”)注册新用户名和仓库的攻击者可将代码注入任何执行 Lyft “install.sh”脚本的人员。
遗憾的是,RepoJacking 的风险非常广泛、难以缓解且可为组织机构以及用户造成严重影响。项目所有人应当尽可能减少从外部仓库中提取的资源。另外,所有人应当考虑继续控制旧品牌或所收购实体的仓库,阻止自身及其用户遭依赖劫持攻击。
GitHub 上的虚假0day PoC 推送 Windows 和 Linux 恶意软件
GitHub Codespaces 可被滥用于托管和传播恶意软件
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):数百万个 GitHub 仓库易受 RepoJacking 攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论