科技创新、旗龙记载!
研究人员发现 GitHub 存在 RepoJacking 漏洞,用户库可遭挟持攻击
旗龙网网 6 月 27 日消息,安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的 RepoJacking 漏洞,黑客可以利用该漏洞,入侵 GitHub 的私人或公开库,将这些组织内部环境或客户环境中的文件替换为带有恶意代码的版本,进行挟持攻击。
据悉,当 GitHub 用户 / 组织更改其名称时,可能会发生 RepoJacking,这是一种供应链攻击,允许攻击者接管 GitHub 项目的依赖项或整个项目,以对使用这些项目的任何设备运行恶意代码。
黑客可直接通过扫描互联网,锁定需要攻击的 GitHub 库,并绕过 GitHub 存储库限制,将其中的文件替换为带有木马病毒的版本,在其他用户下载部署后,黑客即可操控用户终端,进行攻击。
Aqua Nautilus 使用 Lyft 进行演示,他们创建了一个虚假的存储库,并对获取脚本进行了重定向,使用 install.sh 脚本的用户将在不知不觉中自己安装上带有恶意代码的 Lyft,截至发稿,Lyft 的漏洞已经被修复。
▲ 图源 Aqua Nautilus
▲ 图源 Aqua Nautilus
研究人员同时发现谷歌在 GitHub 中的库也存在相关漏洞:
当用户访问 https://github.com/socraticorg/mathsteps 时,将被重定向到 https://github.com/google/mathsteps 因此最终用户将获谷歌的存储库。但是,由于 socraticorg 组织可用,攻击者可以打开 socraticorg / mathsteps 存储库,用户如果直接在终端中执行谷歌给的安装命令,实际上将会下载黑客替换过的恶意文件。
在 Aqua Nautilus 反馈后,谷歌目前也已经修复了这个问题。
Aqua Nautilus 表示,用户可以在 GitHub 库的旧名称与新名称之间创建链接(将旧名称重定向到新名称)来规避 RepoJacking 漏洞,旗龙网网的小伙伴们可以参考这里获取更多相关信息。
热门推荐
-
网络僵尸病毒 Mirai 变种卷土重来,瞄准 TP-link、网件各设备发动攻击
网络僵尸病毒又开始泛滥,安全分析网站 Palo Alto Networks 最近的研究表明,最近的研... -
微软将推免费 P 图软件 Designer:叫板王者 Adobe
公司的股价纷纷暴跌,Canva 的早期投资人“黑鸟风投”调整了对该公司的估值,将最新估值调整为 25... -
理想汽车定位“家庭用户”:20万元以上市场占比89%
媒体采访时介绍了L9及理想ONE的定位,他表示,家庭用户其实覆盖面很广,20万元以上汽车市场中,家庭... -
盖茨谈有关本人阴谋论,我比福奇更有名,所以遭攻击更多
微软创始人比尔最近在接受《卫报》采访时由于大力支持佩戴口罩和接种新冠肺炎疫苗,盖茨谈到了自己流传已久... -
国内苹果用户iCloud转区风波 云上贵州成热词
小编的手机在昨天也就是2月28日收到了这样的一条提醒:"自2018年2月28日起,中国内地... -
中国互联网络信息中心发布第 50 次《中国互联网络发展状况统计报告》
其中 100Mbps 及以上接入速率的固定互联网宽带接入用户达 5.27 亿户,占总用户数的 93.... -
蔚来官方二手车“车主直售”服务开始试运营,用户间车辆自由交易
31 日,蔚来官方二手车开启“车主直售”服务试运营,提供用户间车辆自由交易的平台。IT之家了解到,... -
研究人员发现 ChatGPT 生成的代码大部分不安全
有一个生成不安全代码的工具是非常危险的。我们需要让学生意识到,如果代码是用这种类型的工具生成的,那么... -
“短信嗅探”电信网络诈骗卷土重来 该如何应对?
建立了“非法短信嗅探”治理专项联动机制,双方合作举办科普讲座,为辖区内群众普及“非法短信嗅探”知识及... -
苹果放开第三方应用商城限制反而危害 iOS 用户
在欧洲新规的压力下,苹果正在考虑明年在这里 iPhone / iPad 第三方应用商第三方应用商城... -
买OPPO Findx还是vivo NEX?看看首批用户的评价吧
【旗龙网:2018年7月23日消息】要说最近关注比较多的两款手机,想必就是OPPO FindX和vi... -
B站不想成为“良心版爱优腾”
则逐渐退居第二。上季度,B站游戏的营收贡献率降至27%。同一报告期内,游戏为腾讯带来了32%的收入,... -
巨头相互“比惨”,快手能否找到确定性的增长?
均日活用户同比增长17%达3.46亿;平均月活跃用户同比增长15%达5.98亿。时代的沙粒簌簌落下,... -
Twitter 活跃用户月均发帖量下滑约 25%
这份调查的作者表示:“研究中心对该网站用户实际行为的新分析发现,马斯克收购前最活跃的用户(按推文量排... -
1 万美元买你不用 iPhone 手机,苹果用户不会接受
沃伦・巴菲特(Warren Buffett)本周三接受 CNBC 采访时,盛赞了蒂姆・库克(Tim ... -
谷歌宣布推出适用于 Android 的 Privacy Sandbox Beta 版
叶紫网 2 月 15 日消息,谷歌今天宣布推出 Android 的隐私沙盘(Privacy Sand... -
索尼 A7LV 相机曝光,专为左撇子用户打造
nyalpharumors 索尼似乎即将推出一款特殊的相机,专为左撇子用户设计。据报道,这款相机名为... -
Twitter 清理遗留认证用户,库克已完成 Blue 服务认证
昨天(4 月 20 日)清理剩余的认证用户。根据国外科技媒体 The Apple Post 报道,包... -
支付宝消费券、优惠团、春选合并为消费圈,可领最高 5 元专享券
叶紫网 6 月 24 日消息,支付宝消费券、优惠团、春选合并升级为消费圈,并开启活动,用户进入消费圈... -
Twitter 基础蓝 V 认证用户广告数量将减少一半
叶紫网 12 月 13 日消息,社交媒体公司 Twitter 埃隆,首席执行官・马斯克(Elon M... -
iPhone BUG:未开启专注模式下,也会静音相关通知
2 月 14 日消息,根据国外科技媒体 9to5Mac 报道,一位使用 iPhone 14... -
网易 LOFTER 回应 AI 绘画功能遭质疑:没有使用用户作品数据
近期上线了“老福鸽画画机”功能的内测版(线上版为头像生成器),收到了很多用户的使用反馈。网易 LOF... -
WindowBlinds 11 更新发布:默认新增了经典 Windows 主题
版本更新,默许新增经典 Windows 主题,用户可以安装 Win11 变成 Win95 系统。Wi... -
iOS 16新增安全检查 保护用户人身安全
6月7日凌晨消息,今日苹果公司举办WWDC22全球开发者大会,推出了iOS 16。iOS 16新增了... -
MIUI用户必知,红米最简单的刷机教程你一定要了解!
红米手机本身自带的MIUI系统,其便捷、好用等特性恐怕不用多说了。不过,刷机不仅可以把系统优化的更为...