Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Мільйони репозиторіїв GitHub вразливі для атак RepoJacking

Артем Житкевич
Артем Житкевич
23 червня 2023 2 хвилин читання

Фахівці з кібербезпеки компанії Nautilus проаналізували вибірку з 1,25 млн репозиторіїв (сервер, на якому зберігається ПЗ) GitHub і виявила, що близько 2,95% з них вразливі для атак RepoJacking.

Що собою являє атака RepoJacking?

RepoJacking — це атака, при якій зловмисник реєструє ім'я користувача та створює репозиторій, який використовувався організацією у минулому, але з того часу змінив свою назву. 

Це призводить до того, що будь-який проект, який покладається на авторитетність атакованого проекту, отримує потенційно шкідливий код з репозиторію. 

Реакція GitHub на атаку RepoJacking

GitHub вже реалізує деякі засоби захисту від атак RepoJacking. Проте експерти повідомляють, що ці рішення легко оминути.

GitHub захищає лише дуже популярні проекти, але вони можуть використовувати програмне забезпечення від менш популярних та вразливих проектів. Спеціальні заходи захисту також не поширюються на проекти, що стали популярними після їхнього перейменування або переходу права власності.

Які популярні компанії постраждали від атаки RepoJacking?

Група просканувала відомі організації на наявність вразливих репозиторіїв та виявила випадки експлуатації вразливостей у проектах, керованих Google та Lyft.

У випадку з Google це був файл readme, що містить інструкції щодо створення проекту Mathsteps.

У випадку з Lyft експерти виявили скрипт установки, який бере ZIP-архів з іншого репозиторію, вразливого для RepoJacking.

50 UAH 150 UAH 500 UAH 1000 UAH 3000 UAH 5000 UAH
0
Прокоментувати
Інші матеріали

Google закриває Google Pay в США влітку та передає його функції Google Wallet

Артем Житкевич 16 годин тому

Google планує інтегрувати Gemini в Android

Артем Житкевич 26 лютого 2024 19:00

Google тестувала приховування вкладки «Новини» у результатах пошуку

Богдан Камінський 26 лютого 2024 14:11

Google Chrome навчився писати відгуки та проходити опитування за користувача

Артем Житкевич 23 лютого 2024 21:09

Google не планує закривати Gmail

Юлія Мирська 23 лютого 2024 13:34