Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Мільйони репозиторіїв GitHub вразливі для атак RepoJacking

Артем Житкевич
Артем Житкевич
23 червня 2023 2 хвилин читання

Фахівці з кібербезпеки компанії Nautilus проаналізували вибірку з 1,25 млн репозиторіїв (сервер, на якому зберігається ПЗ) GitHub і виявила, що близько 2,95% з них вразливі для атак RepoJacking.

Що собою являє атака RepoJacking?

RepoJacking — це атака, при якій зловмисник реєструє ім'я користувача та створює репозиторій, який використовувався організацією у минулому, але з того часу змінив свою назву. 

Це призводить до того, що будь-який проект, який покладається на авторитетність атакованого проекту, отримує потенційно шкідливий код з репозиторію. 

Підписуйтеся на наші соцмережі

Реакція GitHub на атаку RepoJacking

GitHub вже реалізує деякі засоби захисту від атак RepoJacking. Проте експерти повідомляють, що ці рішення легко оминути.

GitHub захищає лише дуже популярні проекти, але вони можуть використовувати програмне забезпечення від менш популярних та вразливих проектів. Спеціальні заходи захисту також не поширюються на проекти, що стали популярними після їхнього перейменування або переходу права власності.

Які популярні компанії постраждали від атаки RepoJacking?

Група просканувала відомі організації на наявність вразливих репозиторіїв та виявила випадки експлуатації вразливостей у проектах, керованих Google та Lyft.

У випадку з Google це був файл readme, що містить інструкції щодо створення проекту Mathsteps.

У випадку з Lyft експерти виявили скрипт установки, який бере ZIP-архів з іншого репозиторію, вразливого для RepoJacking.

Підписуйтеся на наші соцмережі

50 UAH 150 UAH 500 UAH 1000 UAH 3000 UAH 5000 UAH
0
Прокоментувати
Інші матеріали

Чому ШІ споживає стільки електроенергії та що це означає для світу

Олександр Тартачний 10 січня 2025 19:00

Google виділила $1 млн на інавгурацію Трампа: деталі

Владислав Паливода 10 січня 2025 08:04

Рік штучного інтелекту: головні події та тренди індустрії

Олександр Тартачний 30 грудня 2024 09:40

GitHub Copilot стане безкоштовним

Вікторія Рудзінська 20 грудня 2024 21:42

Google представив нову відеомодель Veo 2 та вдосконалену Imagen 3 для генерації контенту

Павло Бартос 17 грудня 2024 16:45