科技创新、旗龙记载!
研究人员发现 GitHub 存在 RepoJacking 漏洞,用户库可遭挟持攻击
旗龙网网 6 月 27 日消息,安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的 RepoJacking 漏洞,黑客可以利用该漏洞,入侵 GitHub 的私人或公开库,将这些组织内部环境或客户环境中的文件替换为带有恶意代码的版本,进行挟持攻击。
据悉,当 GitHub 用户 / 组织更改其名称时,可能会发生 RepoJacking,这是一种供应链攻击,允许攻击者接管 GitHub 项目的依赖项或整个项目,以对使用这些项目的任何设备运行恶意代码。
黑客可直接通过扫描互联网,锁定需要攻击的 GitHub 库,并绕过 GitHub 存储库限制,将其中的文件替换为带有木马病毒的版本,在其他用户下载部署后,黑客即可操控用户终端,进行攻击。
Aqua Nautilus 使用 Lyft 进行演示,他们创建了一个虚假的存储库,并对获取脚本进行了重定向,使用 install.sh 脚本的用户将在不知不觉中自己安装上带有恶意代码的 Lyft,截至发稿,Lyft 的漏洞已经被修复。
▲ 图源 Aqua Nautilus
▲ 图源 Aqua Nautilus
研究人员同时发现谷歌在 GitHub 中的库也存在相关漏洞:
当用户访问 https://github.com/socraticorg/mathsteps 时,将被重定向到 https://github.com/google/mathsteps 因此最终用户将获谷歌的存储库。但是,由于 socraticorg 组织可用,攻击者可以打开 socraticorg / mathsteps 存储库,用户如果直接在终端中执行谷歌给的安装命令,实际上将会下载黑客替换过的恶意文件。
在 Aqua Nautilus 反馈后,谷歌目前也已经修复了这个问题。
Aqua Nautilus 表示,用户可以在 GitHub 库的旧名称与新名称之间创建链接(将旧名称重定向到新名称)来规避 RepoJacking 漏洞,旗龙网网的小伙伴们可以参考这里获取更多相关信息。
热门推荐
-
推特陷入混乱,下载量飙升、日活创新高
尽管最近推特陷入混乱,但第三方统计数据显示,推特用户似乎对新老板埃隆很感兴趣,不介意马斯克的新作风,... -
盘点2017手机市场:全面屏爆发元年 大多用户看好
今年下半年全面屏市场爆发,各大手机厂商扎堆发布自己的全面屏手机,不管是苹果、三星等外国厂商还是国产手... -
小红书,社区裂变背后的冒险
小红书员工总数刚过万。在产品形态上,小红书和快手一样,采用双列,用户有着更大的选择权。抖音是流量驱动... -
Twitter 活跃用户月均发帖量下滑约 25%
这份调查的作者表示:“研究中心对该网站用户实际行为的新分析发现,马斯克收购前最活跃的用户(按推文量排... -
谷歌发布 Chrome 浏览器更新,针对 Mac 和 Windows 版漏洞修复
9 月 2 日发布了针对 Mac 和 Windows 版漏洞的 Chrome 浏览器的修复更新。C... -
研究人员发现 GitHub 存在 RepoJacking 漏洞,用户库可遭挟持攻击
安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的 RepoJacking ... -
研究人员发现 ChatGPT 生成的代码大部分不安全
有一个生成不安全代码的工具是非常危险的。我们需要让学生意识到,如果代码是用这种类型的工具生成的,那么... -
微软 Win11 照片 2022.31100.9001.0 预览版发布
iCloud 照片库直接集成 Windows 11 在更新的照片应用中。微软今天开始走向 Dev ... -
MIUI用户必知,红米最简单的刷机教程你一定要了解!
红米手机本身自带的MIUI系统,其便捷、好用等特性恐怕不用多说了。不过,刷机不仅可以把系统优化的更为... -
多名 AirPods Pro 2 用户反馈出现耗电严重情况
叶紫网 12 月 8 日消息,多位 AirPods Pro 2 用户反馈,最新版本升级安装后耗电严重... -
网易 LOFTER 回应 AI 绘画功能遭质疑:没有使用用户作品数据
近期上线了“老福鸽画画机”功能的内测版(线上版为头像生成器),收到了很多用户的使用反馈。网易 LOF... -
买OPPO Findx还是vivo NEX?看看首批用户的评价吧
【旗龙网:2018年7月23日消息】要说最近关注比较多的两款手机,想必就是OPPO FindX和vi... -
用了4年的华为P9如今怎么样了?
时间如白驹过隙,还记得当时华为mate9发布的时候,号称500天不卡,而今天4年过去了,通过老用户调... -
涂鸦智能“AI+loT”技术,挖掘用户新场景
AI元年,人工智能一路高歌猛进,以技术走进千家万户,开启了万物互联的智慧生活新时代。 -
中国互联网络信息中心发布第 50 次《中国互联网络发展状况统计报告》
其中 100Mbps 及以上接入速率的固定互联网宽带接入用户达 5.27 亿户,占总用户数的 93.... -
支持越狱 iOS 16.3.1,适用于苹果 iPhone、iPad 和 iPod Touch
palera1n 于近日发布了适用于 iPhone、iPad 和 iPod T... -
国内苹果用户iCloud转区风波 云上贵州成热词
小编的手机在昨天也就是2月28日收到了这样的一条提醒:"自2018年2月28日起,中国内地... -
苹果又出新系统?这次还会有漏洞吗?
而就在这几天,有微博大V爆料说:库克允许iPhone 6/6S/7手动解除降速其实并不简单,也就是在... -
部分 Win11 用户反馈微软 12 月累积更新导致安装失败
系统出现重大问题。但目前微软官方还没有承认这两个 12 月补丁周二活动日发布的月补丁累积更新存在问题... -
WindowBlinds 11 更新发布:默认新增了经典 Windows 主题
版本更新,默许新增经典 Windows 主题,用户可以安装 Win11 变成 Win95 系统。Wi... -
Meta 分享社交网络平台 Facebook 日活跃用户规模突破 20 亿
社交网络平台 Facebook 每日活跃用户规模突破 20 1亿;今天发布的新闻稿《Facebook... -
Twitter 基础蓝 V 认证用户广告数量将减少一半
叶紫网 12 月 13 日消息,社交媒体公司 Twitter 埃隆,首席执行官・马斯克(Elon M... -
苹果 FaceTime 新专利:响应空中手势
苹果在专利中概述了一种更高效、更快捷地管理实时视频通信会话、数字内容的方法和用户界面。其中一项示例是... -
巨头相互“比惨”,快手能否找到确定性的增长?
均日活用户同比增长17%达3.46亿;平均月活跃用户同比增长15%达5.98亿。时代的沙粒簌簌落下,... -
支付宝消费券、优惠团、春选合并为消费圈,可领最高 5 元专享券
叶紫网 6 月 24 日消息,支付宝消费券、优惠团、春选合并升级为消费圈,并开启活动,用户进入消费圈...