Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Мільйони репозиторіїв GitHub вразливі для атак RepoJacking

Артем Житкевич
Артем Житкевич
23 червня 2023 2 хвилин читання

Фахівці з кібербезпеки компанії Nautilus проаналізували вибірку з 1,25 млн репозиторіїв (сервер, на якому зберігається ПЗ) GitHub і виявила, що близько 2,95% з них вразливі для атак RepoJacking.

Що собою являє атака RepoJacking?

RepoJacking — це атака, при якій зловмисник реєструє ім'я користувача та створює репозиторій, який використовувався організацією у минулому, але з того часу змінив свою назву. 

Це призводить до того, що будь-який проект, який покладається на авторитетність атакованого проекту, отримує потенційно шкідливий код з репозиторію. 

Підписуйтеся на наші соцмережі

Реакція GitHub на атаку RepoJacking

GitHub вже реалізує деякі засоби захисту від атак RepoJacking. Проте експерти повідомляють, що ці рішення легко оминути.

GitHub захищає лише дуже популярні проекти, але вони можуть використовувати програмне забезпечення від менш популярних та вразливих проектів. Спеціальні заходи захисту також не поширюються на проекти, що стали популярними після їхнього перейменування або переходу права власності.

Які популярні компанії постраждали від атаки RepoJacking?

Група просканувала відомі організації на наявність вразливих репозиторіїв та виявила випадки експлуатації вразливостей у проектах, керованих Google та Lyft.

У випадку з Google це був файл readme, що містить інструкції щодо створення проекту Mathsteps.

У випадку з Lyft експерти виявили скрипт установки, який бере ZIP-архів з іншого репозиторію, вразливого для RepoJacking.

Підписуйтеся на наші соцмережі

50 UAH 150 UAH 500 UAH 1000 UAH 3000 UAH 5000 UAH
0
Прокоментувати
Інші матеріали

ШІ-асистент для відеопрезентацій: Google запускає Vids у Workspace Labs

Вікторія Рудзінська 15 годин тому

Вмикаємо батьківський контроль: інструкції для всіх популярних сервісів

Анна Сергієнко 15 липня 2024 12:40

Google запустив Центр прозорості в Україні

Олеся Дерзська 11 липня 2024 14:29

Чому штучний інтелект майже не впливає на економіку

Олександр Тартачний 10 липня 2024 11:45

Що таке агенти штучного інтелекту

Олександр Тартачний 9 липня 2024 09:00