據(jù)悉,當(dāng) GitHub 用戶 / 組織更改其名稱(chēng)時(shí)��,可能會(huì)發(fā)生 RepoJacking��,這是一種供應(yīng)鏈攻擊����,允許攻擊者接管 GitHub 項(xiàng)目的依賴(lài)項(xiàng)或整個(gè)項(xiàng)目,以對(duì)使用這些項(xiàng)目的任何設(shè)備運(yùn)行惡意代碼��。
(相關(guān)資料圖)
6 月 27 日消息�,安全公司 Aqua Nautilus 日前曝光了 GitHub 庫(kù)中存在的 RepoJacking 漏洞,黑客可以利用該漏洞����,入侵 GitHub 的私人或公開(kāi)庫(kù),將這些組織內(nèi)部環(huán)境或客戶環(huán)境中的文件替換為帶有惡意代碼的版本����,進(jìn)行挾持攻擊。
據(jù)悉�,當(dāng) GitHub 用戶 / 組織更改其名稱(chēng)時(shí),可能會(huì)發(fā)生 RepoJacking�,這是一種供應(yīng)鏈攻擊����,允許攻擊者接管 GitHub 項(xiàng)目的依賴(lài)項(xiàng)或整個(gè)項(xiàng)目��,以對(duì)使用這些項(xiàng)目的任何設(shè)備運(yùn)行惡意代碼�。
黑客可直接通過(guò)掃描互聯(lián)網(wǎng),鎖定需要攻擊的 GitHub 庫(kù)���,并繞過(guò) GitHub 存儲(chǔ)庫(kù)限制��,將其中的文件替換為帶有木馬病毒的版本�����,在其他用戶下載部署后�����,黑客即可操控用戶終端�����,進(jìn)行攻擊�。
Aqua Nautilus 使用 Lyft 進(jìn)行演示����,他們創(chuàng)建了一個(gè)虛假的存儲(chǔ)庫(kù),并對(duì)獲取腳本進(jìn)行了重定向�,使用install.sh腳本的用戶將在不知不覺(jué)中自己安裝上帶有惡意代碼的 Lyft,截至發(fā)稿���,Lyft 的漏洞已經(jīng)被修復(fù)��。
▲ 圖源Aqua Nautilus
▲ 圖源Aqua Nautilus
研究人員同時(shí)發(fā)現(xiàn)谷歌在 GitHub 中的庫(kù)也存在相關(guān)漏洞:
當(dāng)用戶訪問(wèn)https://github.com/socraticorg/mathsteps時(shí)�����,將被重定向到https://github.com/google/mathsteps因此最終用戶將獲谷歌的存儲(chǔ)庫(kù)�����。但是����,由于 socraticorg 組織可用�,攻擊者可以打開(kāi) socraticorg / mathsteps 存儲(chǔ)庫(kù),用戶如果直接在終端中執(zhí)行谷歌給的安裝命令��,實(shí)際上將會(huì)下載黑客替換過(guò)的惡意文件����。
在 Aqua Nautilus 反饋后�����,谷歌目前也已經(jīng)修復(fù)了這個(gè)問(wèn)題�。
Aqua Nautilus 表示����,用戶可以在 GitHub 庫(kù)的舊名稱(chēng)與新名稱(chēng)之間創(chuàng)建鏈接(將舊名稱(chēng)重定向到新名稱(chēng))來(lái)規(guī)避 RepoJacking 漏洞,IT之家的小伙伴們可以參考這里獲取更多相關(guān)信息�。
