GitHub账户重命名可引发供应链攻击

Checkmarx 公司的研究人员将这种攻击方法称为“repojacking（仓库劫持）”，该技术可导致恶意人员绕过针对接管“退役的”GitHub名称空间的接管防护。

GitHub 仓库拥有一个唯一的URL，位于创建它的用户账户下。所连接的URL和用户名称合起来并称为“名称空间”。当用户选择更名GitHub 账户时，GitHub 会将他们的老URL重定向至新URL。然而，该特性易受“一个逻辑缺陷影响，可破坏原始的重定向”。

如果恶意人员通过其它用户原先的账户名称创建一个账户，则能够将老旧的仓库URL关联至其账户，从而在这个过程中获得访问代码和其它内容的权限。另外，默认重定向被禁用，因此如果攻击成功，则所有现有流量被立即路由至攻击者的恶意 GitHub 仓库。

为防止此类攻击活动，GitHub 推出了“热门仓库名称空间退役”特性，这意味着在用户账户更名时，凡是拥有超过100个克隆的任何仓库被视作“退役”，该命名空间将无法被他人使用。

时间线

研究人员解释称，他们发现可通过两个绕过利用该特性，注意到成功攻击可使多个包管理器如Packagis、Go、Swift等中的流行代码包遭接管。

研究人员在2021年发现第一个绕过并告知GitHub，后者在2022年3月将其“修复”。2022年5月，该特性仍可遭利用，GitHub 在3月晚些时候将其修复。6月，研究人员发现了第二个绕过，GitHub 在9月份将其修复并在本周（10月26日）披露。

研究人员为此获得漏洞奖励计划，不过并未披露具体金额。研究人员提醒称，如果发现更多绕过，则数千个仓库都处于风险中。他们表示，“我们在使用更名后用户名的包管理器中发现了10000多个程序包，如果出现新的绕过，则它们易遭此类攻击。”