https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

新聞

GitHub 新漏洞可能導致 4000 多個程式庫被劫持攻擊

2023 / 09 / 14
編輯部
GitHub 新漏洞可能導致 4000 多個程式庫被劫持攻擊
外媒披露GitHub一個新漏洞,該漏洞可能導致數千個程式儲存庫面臨劫持攻擊的風險。據了解,目前微軟旗下的程式碼託管平臺已於 2023 年 9 月初解決此漏洞問題。

Checkmarx 安全研究員表示,一旦網路攻擊者成功利用此漏洞,就可以劫持使用 Go、PHP 和 Swift 等語言的 4000 多個程式碼包以及 GitHub 操作,整體影響開源社群的安全。

Repocapping 是存儲庫劫持(repository hijacking)的簡稱,是一種威脅攻擊者能夠繞過名為 popular repository namespace retirement 的安全機制,並最終控制存儲庫的技術。Popular repository namespace retirement的安全機制是在防止多個使用者使用相同命名的程式庫。也就是說,多個重複的使用者名稱與程式庫的組合會被視為retired (已退役)。

如果此安全機制被繞過,威脅攻擊者就可以用相同的用戶名建立新帳戶並上傳惡意程式庫,從而可能導致軟體供應鏈攻擊。

GitHub也曾在九個月前修補了一個相似的安全繞過漏洞,該漏洞可能會為劫持攻擊打開方便之門,用戶應留意。

本文轉載自TheHackerNews。