数百万人面临GitHub存储库的重新劫持风险

安全研究人员发现了一个名为RepoJacking的重大漏洞，该漏洞影响了数百万个GitHub存储库。

根据Aqua Security Software上周发布的一份报告，RepoJacking允许攻击者在组织内部环境或客户环境中执行代码。该公司确定了许多备受瞩目的目标，包括谷歌和Lyft等组织，并及时通知并降低了风险。

在技术报告中，这家安全公司解释说，当攻击者利用GitHub上的重命名功能时，RepoJacking就会发生，该功能会在新旧存储库名称之间创建链接。

然后，攻击者可以通过获取旧的存储库名称并将用户重定向到其存储库来利用此漏洞，从而导致代码执行。

Tanium的首席安全顾问Timothy Morris评论道:“只要有动机和一些创造性的数字考古，任何人都可以挖掘出一些过去有价值的链接，这些链接并不古老，但现在正在运行的代码中积极使用。这些都是供应链的弱点。安全团队和风险管理人员必须了解他们所有的软件和依赖项来自哪里。“

在他们的建议中，Aqua团队演示了不同的开发场景，包括自动下载、手动下载和通过存储库发布执行代码。它还包括易受攻击的存储库的现实例子。

为了编写他们的研究，这家安全公司利用了GHTorrent项目的数据库，该数据库记录了GitHub上的公共事件，包括提交和拉取请求。

通过分析样本数据集，他们从125万个样本中确定了超过3.6万个易受攻击的存储库。将这些数据外推到整个GitHub存储库基础，估计可能有数百万个易受攻击的存储库。

Netenrich的首席威胁猎人John Bambenek解释说:“这凸显了GitHub问题之外的风险。如果所有的引用都没有改变，那么任何对‘老’名字的引用都可以被其他人使用。”

据该高管称，GitHub存储库存在远程执行或安装后门的风险。值得注意的是，这种风险也延伸到其他资源，包括电子邮件地址和域名。

Bambenek总结道:“当我们更多地转向云资源和开源时，我们并没有真正考虑安全的解除供应，在我们开始处理这个问题之前，它将继续给我们带来更大的困扰。”

几个月前，VulnCheck发现了一系列伪装成合法安全研究项目的恶意GitHub存储库。