(資料圖片)
IT之家 6 月 27 日消息,安全公司 Aqua Nautilus 日前曝光了 GitHub 庫中存在的 RepoJacking 漏洞���,黑客可以利用該漏洞,入侵 GitHub 的私人或公開庫�����,將這些組織內(nèi)部環(huán)境或客戶環(huán)境中的文件替換為帶有惡意代碼的版本����,進行挾持攻擊��。
據(jù)悉�,當(dāng) GitHub 用戶 / 組織更改其名稱時���,可能會發(fā)生 RepoJacking,這是一種供應(yīng)鏈攻擊�����,允許攻擊者接管 GitHub 項目的依賴項或整個項目����,以對使用這些項目的任何設(shè)備運行惡意代碼���。
黑客可直接通過掃描互聯(lián)網(wǎng)��,鎖定需要攻擊的 GitHub 庫�,并繞過 GitHub 存儲庫限制,將其中的文件替換為帶有木馬病毒的版本���,在其他用戶下載部署后����,黑客即可操控用戶終端��,進行攻擊����。
Aqua Nautilus 使用 Lyft 進行演示����,他們創(chuàng)建了一個虛假的存儲庫�,并對獲取腳本進行了重定向,使用 install.sh 腳本的用戶將在不知不覺中自己安裝上帶有惡意代碼的 Lyft����,截至發(fā)稿���,Lyft 的漏洞已經(jīng)被修復(fù)��。
▲ 圖源 Aqua Nautilus▲ 圖源 Aqua Nautilus研究人員同時發(fā)現(xiàn)谷歌在 GitHub 中的庫也存在相關(guān)漏洞:
在 Aqua Nautilus 反饋后����,谷歌目前也已經(jīng)修復(fù)了這個問題。
Aqua Nautilus 表示��,用戶可以在 GitHub 庫的舊名稱與新名稱之間創(chuàng)建鏈接(將舊名稱重定向到新名稱)來規(guī)避 RepoJacking 漏洞,IT之家的小伙伴們可以參考這里獲取更多相關(guān)信息。
