数百万 GitHub 项目易受依赖库劫持攻击

AquaSec 的安全团队发现，数以百万计的 GitHub 项目易受依赖库劫持攻击。这一攻击方法又被称为 RepoJacking，可被攻击者用于发动影响大量用户的供应链攻击。GitHub 上的用户名和项目或库的名字会频繁更改，如通过合并或收购，一个项目会成为另一个组织的一部分。当这种情况发生后，为了避免破坏其它项目的依赖关系，会创建一个重定向。但如果有人用旧的名字创建了账号，那么重定向会无效。这就是 RepoJacking 攻击。GitHub 实现了部分防御方法抵御此类攻击，但研究人员发现到目前为止防御方案是不完整的，很容易绕过。研究人员估计有数百万项目受到 RepoJacking 攻击影响。
https://blog.aquasec.com/github-dataset-research-reveals-millions-potentially-vulnerable-to-repojacking

转自 奇客Solidot | 数百万 GitHub 项目易受依赖库劫持攻击