IT资讯Win系统
手机之家搜索引擎
其他系统数码之家
VR之家智能时代
业界网络
业界网络
业界网络

研究人员发现 GitHub 存在 RepoJacking 漏洞,用户库

2023-07-03 22:53 来源:未知 作者:小卓 责编:小卓

IT之家 6 月 27 日消息,安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的 RepoJacking 漏洞,黑客可以利用该漏洞,入侵 GitHub 的私人或公开库,将这些组织内部环境或客户环境中的文件替换为带有恶意代码的版本,进行挟持攻击

据悉,当 GitHub 用户 / 组织更改其名称时,可能会发生 RepoJacking,这是一种供应链攻击,允许攻击者接管 GitHub 项目的依赖项或整个项目,以对使用这些项目的任何设备运行恶意代码

黑客可直接通过扫描互联网,锁定需要攻击的 GitHub 库,并绕过 GitHub 存储库限制,将其中的文件替换为带有木马病毒的版本,在其他用户下载部署后,黑客即可操控用户终端,进行攻击。

Aqua Nautilus 使用 Lyft 进行演示,他们创建了一个虚假的存储库,并对获取脚本进行了重定向,使用 install.sh 脚本的用户将在不知不觉中自己安装上带有恶意代码的 Lyft,截至发稿,Lyft 的漏洞已经被修复。

▲ 图源Aqua Nautilus

▲ 图源Aqua Nautilus

研究人员同时发现谷歌在 GitHub 中的库也存在相关漏洞:

当用户访问 https://github.com/socraticorg/mathsteps 时,将被重定向到 https://github.com/google/mathsteps 因此最终用户将获谷歌的存储库。但是,由于 socraticorg 组织可用,攻击者可以打开 socraticorg / mathsteps 存储库,用户如果直接在终端中执行谷歌给的安装命令,实际上将会下载黑客替换过的恶意文件。

在 Aqua Nautilus 反馈后,谷歌目前也已经修复了这个问题。

Aqua Nautilus 表示,用户可以在 GitHub 库的旧名称与新名称之间创建链接(将旧名称重定向到新名称)来规避 RepoJacking 漏洞,IT之家的小伙伴们可以参考这里获取更多相关信息。

广告声明:本文含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考。IT之家所有文章均包含本声明。

相关文章

关键词:

友情链接(欢迎PR>=6的业界知名网站交换链接)

快之站坚持积极、学习、责任、创新、诚信、合作的核心价值观,让每一个人享受互联网,是享联科技的使!

闽ICP备20010713号-1    闽公网安备 35020602001684号