mboost-dp1

GitHub

Millioner af GitHub-softwarelagre sårbare over for RepoJacking-angreb, advarer ny undersøgelse

- Via The Hacker News -

Millioner af softwarelagre på GitHub er sårbare over for RepoJacking-angreb, ifølge en ny undersøgelse fra sikkerhedsfirmaet Aqua.

RepoJacking er en form for supply chain sårbarhed, hvor angribere kan overtage “pensionerede” organisations- eller brugernavne og udgive trojanske versioner af repositories for at køre ondsindet kode.

Undersøgelsen afslørede, at op til 2,95% af 1,25 millioner repos var sårbare over for dette angreb.

Dette indikerer, at millioner af depoter på GitHub kan være i fare.

Et eksempel på et sårbart lager er google/mathsteps, der tidligere tilhørte Socratic, men nu er ejet af Google.

Angribere kan udnytte dette ved at oprette en konto med det gamle brugernavn og “forgifte” softwareforsyningskæden.

Aqua anbefaler, at brugere regelmæssigt inspicerer deres kode for links, der muligvis henter ressourcer fra eksterne GitHub-lagre og sikrer, at de stadig ejer deres tidligere navn, selv som en pladsholder, for at forhindre angrebere i at oprette det.





Gå til bund
Gravatar #1 - larsp
30. jun. 2023 11:59
2,95% af 1,25 millioner repos var sårbare (...) Dette indikerer, at millioner af depoter på GitHub kan være i fare


Jeg får nu 2,95% af 1,25 mio til små 40 tusinde.

... og skal det være softwarelagre, depoter, repositories eller bare repos? :)
Gravatar #2 - arne_v
30. jun. 2023 12:12
#1

De har ikke citeret det hele.


An analysis of a subset of 1.25 million repositories for the month of June 2019 revealed that as many as 36,983 repositories were vulnerable to RepoJacking, denoting a 2.95% success rate.

With GitHub containing more than 330 million repositories, the findings suggest that millions of repositories could be vulnerable to a similar attack.

Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login