IT爱家 6 月 27 日最新消息,安全可靠子公司 Aqua Nautilus 近日曝出了 GitHub 库中存有的 RepoJacking 安全可靠漏洞,骇客能借助该安全可靠漏洞,侵略 GitHub 的商业机构或申明库,将那些组织机构外部自然环境或顾客自然环境中的文档代替为暗含恶意软件的版,展开劫持反击。
据介绍,当 GitHub 采用者 / 组织机构更动当中文名称时,可能会出现 RepoJacking,这是一类物流配送反击,容许反击者接手 GitHub 工程项目的倚赖项或整座工程项目,以对采用那些工程项目的任何人电子设备运转恶意软件。
骇客可间接透过扫描器网络,瞄准须要反击的 GitHub 库,并绕开 GitHub 存储库管制,将当中的文档代替为暗含恶意代码的版本,在其他采用者浏览布署后,骇客方可驾驭采用者终端产品,展开反击。
install.shJAVA的采用者将在不经意中他们加装上暗含恶意软件的 Lyft,截止截稿,Lyft 的安全可靠漏洞早已被复原。
科学研究有关人员与此同时辨认出Google在 GitHub 中的库也存有有关安全可靠漏洞:
当采用者访问 https://github.com/socraticorg/mathsteps 时,将被重定向到 https://github.com/google/mathsteps因此最终采用者将获Google的存储库。但是,由于 socraticorg 组织机构可用,反击者能打开 socraticorg / mathsteps 存储库,采用者如果间接在终端产品中执行Google给的加装命令,实际上将会浏览骇客代替过的恶意文档。
在 Aqua Nautilus 反馈后,Google目前也早已复原了这个问题。
Aqua Nautilus 表示,采用者能在 GitHub 库的旧中文名称与新中文名称之间创建链接(将旧中文名称重定向到新中文名称)来规避 RepoJacking 安全可靠漏洞
