Мільйони репозиторіїв GitHub вразливі для атак RepoJacking
Фахівці з кібербезпеки компанії Nautilus проаналізували вибірку з 1,25 млн репозиторіїв (сервер, на якому зберігається ПЗ) GitHub і виявила, що близько 2,95% з них вразливі для атак RepoJacking.
Що собою являє атака RepoJacking?
RepoJacking — це атака, при якій зловмисник реєструє ім'я користувача та створює репозиторій, який використовувався організацією у минулому, але з того часу змінив свою назву.
Це призводить до того, що будь-який проект, який покладається на авторитетність атакованого проекту, отримує потенційно шкідливий код з репозиторію.
Реакція GitHub на атаку RepoJacking
GitHub вже реалізує деякі засоби захисту від атак RepoJacking. Проте експерти повідомляють, що ці рішення легко оминути.
GitHub захищає лише дуже популярні проекти, але вони можуть використовувати програмне забезпечення від менш популярних та вразливих проектів. Спеціальні заходи захисту також не поширюються на проекти, що стали популярними після їхнього перейменування або переходу права власності.
Які популярні компанії постраждали від атаки RepoJacking?
У випадку з Google це був файл readme, що містить інструкції щодо створення проекту Mathsteps.
У випадку з Lyft експерти виявили скрипт установки, який бере ZIP-архів з іншого репозиторію, вразливого для RepoJacking.
