Мільйони репозиторіїв GitHub вразливі для атак RepoJacking

Фахівці з кібербезпеки компанії Nautilus проаналізували вибірку з 1,25 млн репозиторіїв (сервер, на якому зберігається ПЗ) GitHub і виявила, що близько 2,95% з них вразливі для атак RepoJacking.

Що собою являє атака RepoJacking?

RepoJacking — це атака, при якій зловмисник реєструє ім'я користувача та створює репозиторій, який використовувався організацією у минулому, але з того часу змінив свою назву. 

Це призводить до того, що будь-який проект, який покладається на авторитетність атакованого проекту, отримує потенційно шкідливий код з репозиторію. 

Реакція GitHub на атаку RepoJacking

GitHub вже реалізує деякі засоби захисту від атак RepoJacking. Проте експерти повідомляють, що ці рішення легко оминути.

GitHub захищає лише дуже популярні проекти, але вони можуть використовувати програмне забезпечення від менш популярних та вразливих проектів. Спеціальні заходи захисту також не поширюються на проекти, що стали популярними після їхнього перейменування або переходу права власності.

Які популярні компанії постраждали від атаки RepoJacking?

Група просканувала відомі організації на наявність вразливих репозиторіїв та виявила випадки експлуатації вразливостей у проектах, керованих Google та Lyft.

У випадку з Google це був файл readme, що містить інструкції щодо створення проекту Mathsteps.

У випадку з Lyft експерти виявили скрипт установки, який бере ZIP-архів з іншого репозиторію, вразливого для RepoJacking.