文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

改名的风险!GitHub上数百万个存储库可能被劫持

2024-11-30 12:01

关注

GitHub上数以百万计的企业软件存储库容易受到劫持,这是一种相对简单的软件供应链攻击,攻击者会将某个特定存储库的项目重定向到一个恶意的存储库。

Aqua Security的研究人员在本周的一份报告中说,这个问题与GitHub如何处理依赖关系有关,当GitHub用户或组织更改项目名称或将其所有权转让给另一个实体时,容易受到重新劫持。

改名的风险

为了避免破坏代码的依赖性,GitHub在原 repo 名称和新名称之间建立了一个链接,因此所有依赖原 repo 的项目都会自动重定向到新更名的项目。然而,如果一个组织未能充分保护旧的用户名,攻击者可以简单地重新使用它来创建一个原始仓库的木马版本,这样任何依赖该存储库的项目将重新开始从该存储库下载。

Aqua公司的研究人员在本周的博客中说:当版本库所有者改变他们的用户名时,对于任何从旧版本库下载依赖项的人来说,在旧名称和新名称之间会产生一个链接。然而,任何人都有可能创建旧的用户名并破坏这个链接。

普遍性问题

Aqua发现了两个问题:一是,GitHub上有数百万个这样的软件库,包括属于谷歌和Lyft等公司的软件库;二是,攻击者很容易找到这些软件库以及劫持它们的工具。其中一个工具是GHTorrent,这个工具对GitHub上的所有公共事件(如提交和请求)进行了几乎完整的记录。攻击者可以使用GHTorrent来获取组织之前使用的GitHub仓库的名称。然后他们可以用这个旧用户名注册存储库,并向任何使用该存储库的项目传输恶意软件。

任何直接引用GitHub存储库的项目,如果存储库的所有者改变或删除了他们存储库的用户名,就会受到攻击。

因此,组织不应假定他们的旧名称不会被披露,而是要在GitHub上认领并保留他们的旧用户名。同时企业可以通过扫描他们的代码、存储库和关联性的GitHub链接来减轻他们面临的劫持威胁。

参考链接:https://www.darkreading.com/application-security/millions-of-repos-on-github-are-potentially-vulnerable-to-hijacking

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯