数以百万计的 GitHub 仓库可能容易受到 RepoJacking 攻击
Aqua Nautilus 最新的一份研究报告指出,数以百万计的 GitHub 存储库可能容易受到 RepoJacking 的攻击,攻击者可以在组织的内部环境或其客户的环境上执行代码。 研究人员共分析了 125 万个 GitHub 存储库的样本,发现约有 2.95% 容易受到 RepoJacking 攻击;其中不乏一些来自 Google 和 Lyft 等公司的存储库。基于该百分比推算到 GitHub 共 3 亿多的仓库数量上,研究人员估计该问题影响了大约 900 万个项目。目前 Aqua 已经向所有易受影响的组织披露了这一漏洞,以降低风险。 GitHub RepoJacking(也称为依赖库劫持)是一种供应链攻击,允许攻击者接管 GitHub 项目的依赖项或整个项目,以便对使用这些项目的人运行恶意代码。当 GitHub 用户/组织更改名称时,可能会发生 RepoJacking。 GitHub 也针对 RepoJacking 攻击实施了一些防御措施,但 AquaSec 指出,这些解决方案并不完整,且可以被攻击者绕过。“它们仅适用于重命名之前流行的存储库;最近研究人员发现了许多绕过这些限制...
