GitHub修复了一个允许黑客接管存储库的错误

• Checkmarx SCS 向 GitHub 报告了该漏洞，GitHub 将其归类为高危并修复了该漏洞。
• 该漏洞使攻击者能够控制 GitHub 存储库，并可能用恶意代码感染所有应用程序和依赖它的其他代码。
• 该团队使用重命名的用户名在这些包管理器中识别出超过 10,000 个包，并且面临受到这种技术攻击的风险。

Checkmarx供应链安全团队在GitHub中发现了一个漏洞。它允许攻击者控制 GitHub 存储库。该漏洞还允许攻击者使用恶意代码感染存储库。该团队声称 GitHub 上所有重命名的用户名都容易受到此漏洞的影响，其中包括 Go、Swift 和 Packagist 包管理器上的 10,000 多个包。这允许这些包被劫持并向数百万人提供恶意代码。

回购劫持

在 Checkmarx 报告该漏洞后，该漏洞是在名为“流行的存储库命名空间退休”的机制中发现的，该漏洞已被修复且不再可利用。在 GitHub 中，存储库具有唯一的 URL，该 URL 嵌套在创建存储库的用户帐户下。克隆后，它们将使用完整的 URL。当用户决定重命名帐户时，GitHub 会显示一条警告，指出旧存储库 URL 的所有流量都将被重定向。

一旦接受警告并重命名用户名，就会创建从旧 URL 到新 URL 的重定向规则。RepoJacking 旨在劫持重命名的存储库 URL 流量并将其路由到攻击者的存储库。它利用了一个逻辑缺陷来破坏原始重定向。仅当创建者更改用户名并且旧用户名可用于注册时，此技术才可用。通过使用创建者的旧用户名创建新用户，攻击者可以匹配存储库名称之间的 URL。

它禁用重定向并将流量路由到攻击者的存储库。GitHub 引入了流行的存储库命名空间停用保护措施来避免这种情况，该措施考虑在其用户帐户重命名时停用任何具有 100 多个克隆的存储库。9 月 19 日，GitHub 修复了该漏洞，将其归类为“高”严重性，并授予 Checkmarx 漏洞赏金。Checkmarx 说，

« 许多 GitHub 用户选择使用 GitHub 提供的“用户重命名”功能，其中包括控制流行存储库和包的用户。出于这个原因，绕过“流行的存储库命名空间退役”的尝试对于供应链攻击者来说仍然是一个有吸引力的攻击点，并有可能造成重大损失。此外，有趣的是，GitHub 提供的保护是基于内部指标激活的，并且不会向用户指示特定命名空间是否受其保护。这可能会使一些存储库和软件包在不知不觉中处于危险之中。»