研究人员发现 GitHub 存在 RepoJacking 漏洞，用户库可遭挟持攻击

6 月 27 日消息，研究用户安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的发现 RepoJacking 漏洞，黑客可以利用该漏洞，存R持攻入侵 GitHub 的漏洞私人或公开库，将这些组织内部环境或客户环境中的遭挟文件替换为带有恶意代码的版本，进行挟持攻击。云计算研究用户

据悉 ，发现当 GitHub 用户 / 组织更改其名称时 ，存R持攻可能会发生 RepoJacking ，漏洞这是遭挟一种供应链攻击，允许攻击者接管 GitHub 项目的研究用户依赖项或整个项目，以对使用这些项目的发现任何设备运行恶意代码
 。源码下载

黑客可直接通过扫描互联网
，存R持攻锁定需要攻击的漏洞 GitHub 库
，并绕过 GitHub 存储库限制 ，遭挟将其中的文件替换为带有木马病毒的版本，在其他用户下载部署后，黑客即可操控用户终端 ，模板下载进行攻击。

Aqua Nautilus 使用 Lyft 进行演示 ，他们创建了一个虚假的存储库，并对获取脚本进行了重定向 ，使用 install.sh 脚本的用户将在不知不觉中自己安装上带有恶意代码的 Lyft ，截至发稿，建站模板Lyft 的漏洞已经被修复。

▲ 图源 Aqua Nautilus

▲ 图源 Aqua Nautilus

研究人员同时发现谷歌在 GitHub 中的库也存在相关漏洞：

当用户访问 https://github.com/socraticorg/mathsteps 时 ，将被重定向到 https://github.com/google/mathsteps 因此最终用户将获谷歌的存储库
。但是，由于 socraticorg 组织可用，源码库攻击者可以打开 socraticorg / mathsteps 存储库，用户如果直接在终端中执行谷歌给的安装命令 ，实际上将会下载黑客替换过的恶意文件。

在 Aqua Nautilus 反馈后，谷歌目前也已经修复了这个问题 。

Aqua Nautilus 表示 ，用户可以在 GitHub 库的亿华云旧名称与新名称之间创建链接（将旧名称重定向到新名称）来规避 RepoJacking 漏洞 ，IT之家的小伙伴们可以参考这里获取更多相关信息 。