Підписуйтеся на наш телеграм канал!

Фахівці з кібербезпеки виявили мільйони репозиторіїв на GitHub, що містять критичні вразливості

5:32 pm, 23 Червня, 2023

Аналітики Nautilus проаналізувала вибірку з 1,25 млн репозиторіїв GitHub і виявили, що близько 2,95% з них вразливі до атаки RepoJacking. Дослідники дійшли висновку — глобально проблема може охоплювати приблизно 9 млн із 300 млн репозиторіїв GitHub.

RepoJacking — це атака, під час якої зловмисник реєструє ім'я користувача і створює репозиторій, який використовувався організацією в минулому. Як наслідок — будь-який проект або код, який покладається на залежності атакованого проекту, отримуватиме залежності та код із репозиторію, контрольованого зловмисником. А той вже може містити шкідливий код.

GitHub вже запустив кілька механізмів для боротьби з RepoJacking. Однак експерти наголошують, що ці рішення досі легко обійти. Так, GitHub захищає лише дуже популярні проекти, але вони можуть використовувати залежності від менш популярних і вразливих репозиторіїв. Спеціальні заходи захисту також не поширюються на проекти, що стали популярними після їхнього перейменування або переходу права власності.

Програмісти перевірили відомі організації на наявність слабких репозиторіїв і виявили випадки експлуатації вразливостей навіть у проектах, керованих Google і Lyft. Власникам проектів порекомендували мінімізувати ресурси, що витягуються із зовнішніх репозиторіїв. Їм також слід зберігати контроль над репозиторіями старих або придбаних брендів.

BTC

$108,758.06

0.64%

ETH

$2,545.28

1.80%

BNB

$662.25

1.19%

XRP

$2.27

2.84%

SOL

$151.56

3.17%

Всі курси
Підписуйтеся на наш
телеграм канал!
Свіжі новини та огляди
ринків криптовалют останньої
доби прямо у вашому мессенджері. Чекаємо на вас!
ПЕРЕЙТИ
Показати більше