簡訊:改名的風險!GitHub上數百萬個存儲庫可能被劫持
(資料圖片)
一項新的研究顯示,許多企業在重命名項目時,不知不覺地將其代碼庫的用戶暴露在重載劫持之下。
GitHub上數以百萬計的企業軟件存儲庫容易受到劫持,這是一種相對簡單的軟件供應鏈攻擊,攻擊者會將某個特定存儲庫的項目重定向到一個惡意的存儲庫。
Aqua Security的研究人員在本周的一份報告中說,這個問題與GitHub如何處理依賴關系有關,當GitHub用戶或組織更改項目名稱或將其所有權轉讓給另一個實體時,容易受到重新劫持。
改名的風險為了避免破壞代碼的依賴性,GitHub在原 repo 名稱和新名稱之間建立了一個鏈接,因此所有依賴原 repo 的項目都會自動重定向到新更名的項目。然而,如果一個組織未能充分保護舊的用戶名,攻擊者可以簡單地重新使用它來創建一個原始倉庫的木馬版本,這樣任何依賴該存儲庫的項目將重新開始從該存儲庫下載。
Aqua公司的研究人員在本周的博客中說:當版本庫所有者改變他們的用戶名時,對于任何從舊版本庫下載依賴項的人來說,在舊名稱和新名稱之間會產生一個鏈接。然而,任何人都有可能創建舊的用戶名并破壞這個鏈接。
普遍性問題Aqua發現了兩個問題:一是,GitHub上有數百萬個這樣的軟件庫,包括屬于谷歌和Lyft等公司的軟件庫;二是,攻擊者很容易找到這些軟件庫以及劫持它們的工具。其中一個工具是GHTorrent,這個工具對GitHub上的所有公共事件(如提交和請求)進行了幾乎完整的記錄。攻擊者可以使用GHTorrent來獲取組織之前使用的GitHub倉庫的名稱。然后他們可以用這個舊用戶名注冊存儲庫,并向任何使用該存儲庫的項目傳輸惡意軟件。
任何直接引用GitHub存儲庫的項目,如果存儲庫的所有者改變或刪除了他們存儲庫的用戶名,就會受到攻擊。
因此,組織不應假定他們的舊名稱不會被披露,而是要在GitHub上認領并保留他們的舊用戶名。同時企業可以通過掃描他們的代碼、存儲庫和關聯性的GitHub鏈接來減輕他們面臨的劫持威脅。
參考鏈接:https://www.darkreading.com/application-security/millions-of-repos-on-github-are-potentially-vulnerable-to-hijacking
關鍵詞:
您可能也感興趣:
為您推薦
當前滾動:涉及130余部劇本價值近800萬,上海首起盜版“劇本殺”侵犯著作權案宣判
LGD Q2銷售額預計同比下降15.52% 下半年業績有望反彈_環球快消息
華建集團:下屬公司簽署7408萬元工程設計合同 全球滾動
排行
最近更新
- 簡訊:改名的風險!GitHub上數百萬個存儲庫可能被劫持
- 跨境電商巨頭SHEIN回應IPO傳聞:消息不實
- 焦點訊息:山西開展礦山井下輔助運輸風險隱患排查整治
- 1650年什么朝代_1650年
- 科創未來丨最快僅需4小時 體育館冰球場變籃球場
- 王興“言和”支付寶-環球關注
- 婦產科護理學重點題庫及答案解析_婦產科護理學重點
- 世界微頭條丨浙江桐廬警方跨省偵破一起販毒案件 抓獲17人繳...
- 內蒙古目前高鐵線路 一趟Z字形動車運行線-每日熱訊
- 全球看點:售價33.5萬元,坦克500 Hi4-T全擎上市!越野新能...
- 焦點速讀:從逆流而上的新零售巨輪,看林氏家居逆勢增長的關鍵...
- 【報資訊】專訪:世界對中國的發展與機遇充滿期待——訪世界...
- 再添文旅新地標 世界級城市潛水項目落地兩江新區
- 郎酒股份發布最新人事任命 高管隊伍呈專業化、知識化、年輕...
- 望幸(關于望幸介紹)
- 創新消保與投教方式 財信金控動畫片《星寶理財記》童趣首映|...
- 2023年淮安市普通高中錄取控制線公布!
- 天天觀熱點:北外灘來福士廣場城市集市·里弄二期即將驚喜開業!
- 全球快報:“把脈”“問診”又“開方”,小昆山市場監管所爭當...
- 奉賢推進老舊小區排水設施改造|全球熱消息
- 熱點在線丨借降雨蓄水 重慶可供水量達16.37億立方米
- 為謀2萬元“好處費” 孕婦文胸內褲藏毒20000余顆被判無期
- 【世界速看料】豬肺怎樣做才好吃?
- 熱點!大連警方最新通告!
- 電科院實控人胡德霖因病去世 公司此前陷入父子內斗風波 簡訊
- 上海迪士尼門票再漲價,漲價當日客流量超7萬!外地游客:難得...
- 6億還清,羅永浩“真還傳”迎來大結局?回應:系誤傳|世界熱資訊
- 要升溫了?賀州未來一周天氣 環球視點
- 全球熱文:超670家公司獲機構密集調研,這五大板塊最受關注
- 深圳市2022年度林長制工作考核結果出爐