科技创新、旗龙记载!
研究人员发现 GitHub 存在 RepoJacking 漏洞,用户库可遭挟持攻击
旗龙网网 6 月 27 日消息,安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的 RepoJacking 漏洞,黑客可以利用该漏洞,入侵 GitHub 的私人或公开库,将这些组织内部环境或客户环境中的文件替换为带有恶意代码的版本,进行挟持攻击。
据悉,当 GitHub 用户 / 组织更改其名称时,可能会发生 RepoJacking,这是一种供应链攻击,允许攻击者接管 GitHub 项目的依赖项或整个项目,以对使用这些项目的任何设备运行恶意代码。
黑客可直接通过扫描互联网,锁定需要攻击的 GitHub 库,并绕过 GitHub 存储库限制,将其中的文件替换为带有木马病毒的版本,在其他用户下载部署后,黑客即可操控用户终端,进行攻击。
Aqua Nautilus 使用 Lyft 进行演示,他们创建了一个虚假的存储库,并对获取脚本进行了重定向,使用 install.sh 脚本的用户将在不知不觉中自己安装上带有恶意代码的 Lyft,截至发稿,Lyft 的漏洞已经被修复。
▲ 图源 Aqua Nautilus
▲ 图源 Aqua Nautilus
研究人员同时发现谷歌在 GitHub 中的库也存在相关漏洞:
当用户访问 https://github.com/socraticorg/mathsteps 时,将被重定向到 https://github.com/google/mathsteps 因此最终用户将获谷歌的存储库。但是,由于 socraticorg 组织可用,攻击者可以打开 socraticorg / mathsteps 存储库,用户如果直接在终端中执行谷歌给的安装命令,实际上将会下载黑客替换过的恶意文件。
在 Aqua Nautilus 反馈后,谷歌目前也已经修复了这个问题。
Aqua Nautilus 表示,用户可以在 GitHub 库的旧名称与新名称之间创建链接(将旧名称重定向到新名称)来规避 RepoJacking 漏洞,旗龙网网的小伙伴们可以参考这里获取更多相关信息。
热门推荐
-
B站不想成为“良心版爱优腾”
则逐渐退居第二。上季度,B站游戏的营收贡献率降至27%。同一报告期内,游戏为腾讯带来了32%的收入,... -
微软 Win11 Beta 预览版 22621.730/22623.730 发布
在用户输入时直接显示结果,完整的搜索结果页面将实时更新,无需按回车键。Build 22623.730... -
谷歌被控肆意追踪用户位置信息并花费 3990 万美元达成和解
跟踪政策上误导了消费者,谷歌现在决定这样做 3990 万美元(叶紫网备注:当前约 2.81 亿元人民... -
小米商城推出一项新功能: AI 为用户挑手机
2 月 5 日消息,小米商城日前推出了一项全新功能,通过 AI 为用户推荐手机、耳机等产品。以手机为... -
苹果"力挽狂澜":廉价版iPhone X售价良心,iPhone8用户非常羡慕!
MWC上安卓阵营大放异彩,三星、诺基亚、索尼都发布了自家全新的产品,正式开启全面屏手机的大战。反观苹... -
研究人员发现 ChatGPT 生成的代码大部分不安全
有一个生成不安全代码的工具是非常危险的。我们需要让学生意识到,如果代码是用这种类型的工具生成的,那么... -
iPad mini 6 在更新到 iPadOS 15.5 后可能会出现无法充电的现象
据 MacRumors 苹果正在调查发送给服务提供商的备忘录中用户的严重问题。一些用户反馈说,iPa... -
Ubuntu Font 字体已发布 13 年,Canonical 正测试新版本
并计划随 Ubuntu 23.04 “Lunar Lobster” 一同发布。Canonical 目... -
B站高管解读Q1财报:疫情对广告和电商等业务有短期影响,对B站长期发展没有影响
下半年广告业务的增长趋势如何?李旎:Alex对我们广告业务的核心和关键都非常熟悉,一季度广告业务营收... -
谷歌宣布推出适用于 Android 的 Privacy Sandbox Beta 版
叶紫网 2 月 15 日消息,谷歌今天宣布推出 Android 的隐私沙盘(Privacy Sand... -
苹果旗下全资子公司将向用户提供“先买后付”短期贷款
苹果公司表示,该公司旗下的一家全资子公司将负责检查用户信用,并为苹果公司即将推出的短期贷款服务“Ap... -
Twitter设定有史以来最高用户增长目标:二季度新增有望超千万
俄乌冲突在第一季度末提升了Twitter的用户活跃程度,但本季度内,用户在该平台上花费的时间却下降了... -
马斯克被 Twitter 用户票选出局:投资收益高达五倍
尽管推特有问题,周二表示,但它预计将获得高达五倍的收入。马斯克本周早前发文表示,自 5 月以来推特一... -
推特老板马斯克的推文在推特的信息流中疯狂刷屏
许多用户发现,推特老板埃隆・马斯克 (Elon Musk) 的推文在他们的信息流中疯狂刷屏... -
人人车率先推出二手车严选商城 让用户“闭着眼买好车”
9月10日,国内领先的汽车交易服务平台人人车宣布率先推出二手车严选商城。 -
Office 全家桶引入 GPT-4,微软称辅助用户
微软展示了 AI 工具 Copilot,可用于 Office 套装中的 Word、Excel 和 P... -
苹果放开第三方应用商城限制反而危害 iOS 用户
在欧洲新规的压力下,苹果正在考虑明年在这里 iPhone / iPad 第三方应用商第三方应用商城... -
涂鸦智能“AI+loT”技术,挖掘用户新场景
AI元年,人工智能一路高歌猛进,以技术走进千家万户,开启了万物互联的智慧生活新时代。 -
多名 AirPods Pro 2 用户反馈出现耗电严重情况
叶紫网 12 月 8 日消息,多位 AirPods Pro 2 用户反馈,最新版本升级安装后耗电严重... -
Twitter 基础蓝 V 认证用户广告数量将减少一半
叶紫网 12 月 13 日消息,社交媒体公司 Twitter 埃隆,首席执行官・马斯克(Elon M... -
OpenAI 为聊天机器人 ChatGPT 引入插件策略
用户最期待的功能之一就是引入插件,可以解锁各种使用场景。OpenAI 宣布这些 ChatGPT 插件... -
国内苹果用户iCloud转区风波 云上贵州成热词
小编的手机在昨天也就是2月28日收到了这样的一条提醒:"自2018年2月28日起,中国内地... -
MIUI用户必知,红米最简单的刷机教程你一定要了解!
红米手机本身自带的MIUI系统,其便捷、好用等特性恐怕不用多说了。不过,刷机不仅可以把系统优化的更为... -
Netflix 称最严峻时期已经结束,第三季度恢复用户增长
Netflix 今日公布的第三季度财报重新实现增长,令好莱坞松了口气。第三季度,作为流媒体视频行业领... -
iOS 16新增安全检查 保护用户人身安全
6月7日凌晨消息,今日苹果公司举办WWDC22全球开发者大会,推出了iOS 16。iOS 16新增了...