![Milyonlarca GitHub Deposu RepoJacking Saldırısına Karşı Savunmasız Olabilir](https://kilalu.blog/news/2024-07-30-01:31/Milyonlarca GitHub Deposu RepoJacking Saldırısına Karşı Savunmasız Olabilir.jpg)
22 Haziran 2023Ravie LakshmananTedarik Zinciri / Yazılım Güvenliği
GitHub’daki milyonlarca yazılım deposu, adı verilen bir saldırıya karşı muhtemelen savunmasızdır. Repo Jackingyeni bir çalışma ortaya çıkardı.
Buna Google, Lyft ve birkaç diğer kuruluştan depolar, Massachusetts merkezli bulut yerel güvenlik firması Aqua dahildir. söz konusu Çarşamba raporunda.
Bağımlılık deposunun ele geçirilmesi olarak da bilinen tedarik zinciri güvenlik açığı, saldırı sınıfı bu, kullanımdan kaldırılan kuruluşları veya kullanıcı adlarını devralmayı ve kötü amaçlı kod çalıştırmak için depoların truva atı uygulanmış sürümlerini yayınlamayı mümkün kılar.
Araştırmacılar İlay Goldman ve Yakir Kadkoda, “Bir depo sahibi kullanıcı adını değiştirdiğinde, eski depodan bağımlılıkları indiren herkes için eski ad ile yeni ad arasında bir bağlantı oluşturulur” dedi. “Ancak, herhangi birinin eski kullanıcı adını oluşturması ve bu bağlantıyı kırması mümkündür.”
Alternatif olarak, bir havuz sahipliği başka bir kullanıcıya devredildiğinde ve orijinal hesap silindiğinde benzer bir senaryo ortaya çıkabilir, böylece kötü bir aktörün eski kullanıcı adıyla bir hesap oluşturmasına izin verilir.
Aqua, bir tehdit aktörünün, herhangi bir genel taahhütle ilişkili GitHub meta verilerini çıkarmak ve benzersiz depoların bir listesini derlemek için istekleri çekmek için GHTorrent gibi web sitelerinden yararlanabileceğini söyledi.
![](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2023/06/1687489589_700_Milyonlarca-GitHub-Deposu-RepoJacking-Saldirisina-Karsi-Savunmasiz-Olabilir.jpg)
Haziran 2019 ayı için 1,25 milyon depodan oluşan bir alt kümenin analizi, 36.983 kadar havuzun RepoJacking’e karşı savunmasız olduğunu ortaya çıkardı ve bu da %2,95’lik bir başarı oranı anlamına geliyor.
içeren GitHub ile 330 milyondan fazla depobulgular milyonlarca havuzun benzer bir saldırıya karşı savunmasız olabileceğini gösteriyor.
Bu depolardan biri, daha önce Google tarafından 2018’de satın alınan bir şirket olan Socratic’nın (socraticorg/mathsteps) mülkiyetinde olan google/mathsteps’tir.
Araştırmacılar, “https://github.com/socraticorg/mathsteps’e eriştiğinizde, https://github.com/google/mathsteps’e yönlendiriliyorsunuz, böylece kullanıcı sonunda Google’ın deposunu getirecek” dedi.
“Ancak, socraticorg organizasyonu mevcut olduğu için, bir saldırgan socraticorg/mathsteps deposunu açabilir ve Google’ın talimatlarını izleyen kullanıcılar bunun yerine saldırganın deposunu klonlayabilir. Ve npm kurulumu nedeniyle bu, kullanıcılar üzerinde rasgele kod yürütülmesine yol açacaktır.”
![](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2023/06/1687489589_347_Milyonlarca-GitHub-Deposu-RepoJacking-Saldirisina-Karsi-Savunmasiz-Olabilir.jpg)
Bu tür kaygılar ilk kez dile getirilmiyor. Ekim 2022’de GitHub, popüler depo ad alanının kullanımdan kaldırılmasını engelleyerek kötü amaçlı depolar oluşturmak ve tedarik zinciri saldırıları düzenlemek için kullanılmış olabilecek bir güvenlik boşluğunu kapatmak için harekete geçti.
Bu tür riskleri azaltmak için, kullanıcıların harici GitHub havuzlarından kaynakları alıyor olabilecek bağlantılar için kodlarını düzenli aralıklarla incelemeleri önerilir.
Araştırmacılar, “Kuruluşunuzun adını değiştirirseniz, saldırganların oluşturmasını önlemek için yer tutucu olarak bile eski adın size ait olduğundan emin olun” dedi.
Popular Articles
- 26 Jul Fight Kulüp sosyal medyayı salladı! Şarkı büyük eleştiri aldı!
- 20 Jul Afganistanın Yeni Merkez Bankası Başkanı: Ekonomi Eğitimi de Yüksek Öğrenim Diploması da Yok
- 26 Jul Limonata Konusu Nedir? Limonata Filmi Oyuncuları Kimlerdir?
- 02 Aug Ebru Polat, Ormanda Üçlü Cinsel İlişkiye Girdiğini İtiraf Eden Bir Takipçisine Verdiği Tepkiyle Gündem Oldu
- 19 Jul Bir Kişi Daha Hayatını Kaybetti: İzmirde Sahte İçkiden Ölenlerin Sayısı 26ya Yükseldi
Latest Articles
- 16 Aug Bitcoin Fiyat Tahminleri Açıklandı: Bizi Neler Bekliyor?
- 09 Aug lifebox yeni rekorunu kırdı ücretli abone sayısı 2 milyona ulaştı
- 13 Aug Uslu Bir Çocuk Olacağına Söz Vermiş: Olaylı İsim Kanye Westin X (Twitter) Hesabı Tekrar Açıldı
- 10 Aug Toplamda Milyarlarca Kez İndirilen Tüm Angry Birds Oyunları (Android - iOS)
- 20 Jul Bu gülüşün üzerinden yıllar geçti... Herkes hayatının tamamen değiştiğini düşündü... Ama Kate sonunda başladığı yere döndü
Other Articles
- Bu Yaz Deniz Kenarında Dinleyebileceğiniz 14 Keyifli Yaz Şarkısı
- Kozmetik Markalarının Reklam Yüzleri Olan Ünlü İsimlerin Makyajsız Hallerini Görmüş müydünüz?
- Apple’ın temel iPad’i önceki düşük fiyattan 20 $ daha ucuz
- The Division Heartland İlk Oynanış Videosunu Aldı, Erken Erişim Kaydı Şimdi Açıldı
- Vodafone Onay Dışı Abonelik Sorunu Nasıl Çözülür?