科技创新、旗龙记载!
研究人员发现 GitHub 存在 RepoJacking 漏洞,用户库可遭挟持攻击
旗龙网网 6 月 27 日消息,安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的 RepoJacking 漏洞,黑客可以利用该漏洞,入侵 GitHub 的私人或公开库,将这些组织内部环境或客户环境中的文件替换为带有恶意代码的版本,进行挟持攻击。
据悉,当 GitHub 用户 / 组织更改其名称时,可能会发生 RepoJacking,这是一种供应链攻击,允许攻击者接管 GitHub 项目的依赖项或整个项目,以对使用这些项目的任何设备运行恶意代码。
黑客可直接通过扫描互联网,锁定需要攻击的 GitHub 库,并绕过 GitHub 存储库限制,将其中的文件替换为带有木马病毒的版本,在其他用户下载部署后,黑客即可操控用户终端,进行攻击。
Aqua Nautilus 使用 Lyft 进行演示,他们创建了一个虚假的存储库,并对获取脚本进行了重定向,使用 install.sh 脚本的用户将在不知不觉中自己安装上带有恶意代码的 Lyft,截至发稿,Lyft 的漏洞已经被修复。
▲ 图源 Aqua Nautilus
▲ 图源 Aqua Nautilus
研究人员同时发现谷歌在 GitHub 中的库也存在相关漏洞:
当用户访问 https://github.com/socraticorg/mathsteps 时,将被重定向到 https://github.com/google/mathsteps 因此最终用户将获谷歌的存储库。但是,由于 socraticorg 组织可用,攻击者可以打开 socraticorg / mathsteps 存储库,用户如果直接在终端中执行谷歌给的安装命令,实际上将会下载黑客替换过的恶意文件。
在 Aqua Nautilus 反馈后,谷歌目前也已经修复了这个问题。
Aqua Nautilus 表示,用户可以在 GitHub 库的旧名称与新名称之间创建链接(将旧名称重定向到新名称)来规避 RepoJacking 漏洞,旗龙网网的小伙伴们可以参考这里获取更多相关信息。
热门推荐
-
多名 AirPods Pro 2 用户反馈出现耗电严重情况
叶紫网 12 月 8 日消息,多位 AirPods Pro 2 用户反馈,最新版本升级安装后耗电严重... -
网易 LOFTER 回应 AI 绘画功能遭质疑:没有使用用户作品数据
近期上线了“老福鸽画画机”功能的内测版(线上版为头像生成器),收到了很多用户的使用反馈。网易 LOF... -
买OPPO Findx还是vivo NEX?看看首批用户的评价吧
【旗龙网:2018年7月23日消息】要说最近关注比较多的两款手机,想必就是OPPO FindX和vi... -
用了4年的华为P9如今怎么样了?
时间如白驹过隙,还记得当时华为mate9发布的时候,号称500天不卡,而今天4年过去了,通过老用户调... -
涂鸦智能“AI+loT”技术,挖掘用户新场景
AI元年,人工智能一路高歌猛进,以技术走进千家万户,开启了万物互联的智慧生活新时代。 -
中国互联网络信息中心发布第 50 次《中国互联网络发展状况统计报告》
其中 100Mbps 及以上接入速率的固定互联网宽带接入用户达 5.27 亿户,占总用户数的 93.... -
支持越狱 iOS 16.3.1,适用于苹果 iPhone、iPad 和 iPod Touch
palera1n 于近日发布了适用于 iPhone、iPad 和 iPod T... -
国内苹果用户iCloud转区风波 云上贵州成热词
小编的手机在昨天也就是2月28日收到了这样的一条提醒:"自2018年2月28日起,中国内地... -
苹果又出新系统?这次还会有漏洞吗?
而就在这几天,有微博大V爆料说:库克允许iPhone 6/6S/7手动解除降速其实并不简单,也就是在... -
MIUI用户必知,红米最简单的刷机教程你一定要了解!
红米手机本身自带的MIUI系统,其便捷、好用等特性恐怕不用多说了。不过,刷机不仅可以把系统优化的更为... -
部分 Win11 用户反馈微软 12 月累积更新导致安装失败
系统出现重大问题。但目前微软官方还没有承认这两个 12 月补丁周二活动日发布的月补丁累积更新存在问题... -
WindowBlinds 11 更新发布:默认新增了经典 Windows 主题
版本更新,默许新增经典 Windows 主题,用户可以安装 Win11 变成 Win95 系统。Wi... -
Meta 分享社交网络平台 Facebook 日活跃用户规模突破 20 亿
社交网络平台 Facebook 每日活跃用户规模突破 20 1亿;今天发布的新闻稿《Facebook... -
Twitter 基础蓝 V 认证用户广告数量将减少一半
叶紫网 12 月 13 日消息,社交媒体公司 Twitter 埃隆,首席执行官・马斯克(Elon M... -
苹果 FaceTime 新专利:响应空中手势
苹果在专利中概述了一种更高效、更快捷地管理实时视频通信会话、数字内容的方法和用户界面。其中一项示例是... -
巨头相互“比惨”,快手能否找到确定性的增长?
均日活用户同比增长17%达3.46亿;平均月活跃用户同比增长15%达5.98亿。时代的沙粒簌簌落下,... -
支付宝消费券、优惠团、春选合并为消费圈,可领最高 5 元专享券
叶紫网 6 月 24 日消息,支付宝消费券、优惠团、春选合并升级为消费圈,并开启活动,用户进入消费圈... -
Shazam 最近推出新版本 iOS 应用,可为 iPhone / Apple Watch 提供独家壁纸
苹果公司旗下的流行歌曲识别平台 Shazam 最近推出了新版本 iOS 应用,为 iPhone 和 ... -
红米5/5Plus配置全面曝光,用户实测体验,千元全面屏的时代
近期“全面屏”这一词在智能手机界是十分流行,近期发布的智能手机几乎都贴上了“全面屏”的标签,例如一加... -
软件被攻击?你的硬件也有漏洞
最近企业网络被攻击新闻不断,已经对企业造成了一定的业务损失。虽然企业网络技术的发展为数据交流提高了通... -
黑客病毒,你了解多少?
无论走在哪个大街上,你看到的总会是一群群的人拿着手机在一些休闲场所低着头饶有兴致的玩。没错,网络是当... -
Meta 语言 AI 工具泄露:未获授权的用户也能下载使用
Meta 最新的大型语言模型泄漏,当地时间周一,未经授权的用户也可以下载使用,Meta 表示将继续向... -
19 款侵害用户权益的 App 和小程序被通报
App 未经用户同意,非服务必须或无合理使用场景获取无关权限,超范围收集使用个人信息以及频繁自启动,... -
索尼 A7LV 相机曝光,专为左撇子用户打造
nyalpharumors 索尼似乎即将推出一款特殊的相机,专为左撇子用户设计。据报道,这款相机名为... -
理想汽车定位“家庭用户”:20万元以上市场占比89%
媒体采访时介绍了L9及理想ONE的定位,他表示,家庭用户其实覆盖面很广,20万元以上汽车市场中,家庭...