إحاطة الإشارات / اتجاهات الخدمات السحابية العالمية

ثغرة في GitHub تعرض أكثر من 4,000 حزمة لهجوم استيلاء المستودعات

صورة من PixaBay. كشفت GitHub، منصة استضافة الأكواد المستخدمة على نطاق واسع، أن أكثر من 4,000 حزمة برمجية معرضة لهجمات استيلاء المستودعات. وقد أثار هذا الخلل، الذي اكتشفه باحثو Checkmarx، المخاوف داخل مجتمع المصادر المفتوحة واستدعى اتخاذ إجراءات سريعة من GitHub. استيلاء المستودعات...

ثغرة في GitHub تعرض أكثر من 4,000 حزمة لهجوم استيلاء المستودعات
المنطقةعالمي
تركيز الإشارةسوق
نوع المحتوىحدث
النطاق الأساسيسوق
الموضوعسوق
تأثيرمتوسط
الثقةثقة محدودة (72%)

عدة مصادر عامة

يتم تسليط الضوء على "GitHub Vulnerability Exposes 4,000+ to RepoJacking Attack" من قبل BTW Media لأن الأدلة المنشورة تربطها بالبنية التحتية للإنترنت أو الحوكمة أو التبعيات التشغيلية أو رؤية السوق.

صورة من PixaBay

كشفت GitHub، منصة استضافة الأكواد المستخدمة على نطاق واسع، أن أكثر من 4,000 حزمة برمجية معرضة لهجمات استيلاء المستودعات (RepoJacking). وقد أثار هذا الخلل، الذي اكتشفه باحثو Checkmarx، المخاوف داخل مجتمع المصادر المفتوحة واستدعى اتخاذ إجراءات سريعة من GitHub.

شرح هجوم استيلاء المستودعات

استيلاء المستودعات، وهو اختصار لـ "اختراق المستودع"، هو تقنية يستخدمها المهاجمون للسيطرة على مستودع. تتضمن طريقة الهجوم هذه استغلال حالة سباق بين عمليات إنشاء المستودع في GitHub وإعادة تسمية اسم المستخدم. بشكل أساسي، يطالب المهاجمون باسم المستخدم القديم للمستودع بعد أن يقوم المنشئ الشرعي بتغيير اسم المستخدم. ثم ينشرون مستودعًا مزيفًا بنفس الاسم، مخادعين المستخدمين لتنزيل محتوى ضار.

عواقب هذه الثغرة بعيدة المدى. فهي تؤثر على أكثر من 4,000 حزمة برمجية عبر لغات برمجة مثل Go وPHP وSwift، بالإضافة إلى إجراءات GitHub. وقد اكتسبت العديد من هذه الحزم شعبية كبيرة، حيث تجاوزت 1,000 نجمة. ونحن لم نكتشف بعد التأثير المحتمل على ملايين المستخدمين والتطبيقات المختلفة.

رد GitHub

أبلغت Checkmarx GitHub بهذه الثغرة بشكل مسؤول في 1 مارس 2023، مما دفع المنصة إلى اتخاذ إجراءات. قدمت GitHub آلية "تقاعد مساحة أسماء المستودعات الشائعة" لمنع استيلاء المستودعات. مع هذا الإجراء الأمني، تعتبر المستودعات التي تحتوي على أكثر من 100 نسخة في وقت تغيير اسم المستخدم "متقاعدة" ولا يمكن للآخرين استخدامها. كما تعتبر مجموعة اسم المستخدم واسم المستودع "متقاعدة".

ومع ذلك، تبين أن الإجراء الأمني يمكن التحايل عليه بسهولة. حددت Checkmarx أكثر من 4,000 حزمة في مديري الحزم استخدمت أسماء مستخدمين أعيدت تسميتها، مما يعرضها لخطر الاختراق.

كيف يعمل الهجوم

أوضحت Checkmarx الخطوات المتضمنة في هجوم استيلاء المستودعات:

  1. يمتلك الضحية مساحة الاسم "victim_user/repo".
  2. يعيد الضحية تسمية "victim_user" إلى "renamed_user".
  3. يصبح مستودع "victim_user/repo" متقاعدًا.
  4. يقوم مهاجم يحمل اسم المستخدم "attacker_user" بإنشاء مستودع يسمى "repo" في نفس الوقت ويعيد تسمية اسم المستخدم "attacker_user" إلى "victim_user".

يتم تحقيق ذلك من خلال طلب API لإنشاء المستودع واعتراض طلب إعادة التسمية لتغيير اسم المستخدم.

ثغرات مستمرة

يوضح هذا الاكتشاف المخاطر المستمرة المرتبطة بآلية "تقاعد مساحة أسماء المستودعات الشائعة" في GitHub. يختار العديد من مستخدمي GitHub، بمن فيهم أولئك الذين يتحكمون في مستودعات وحزم شائعة، استخدام ميزة "إعادة تسمية المستخدم" التي تقدمها GitHub. وهذا يجعل تجاوز "تقاعد مساحة أسماء المستودعات الشائعة" هدفًا جذابًا لمهاجمي سلسلة التوريد.

GitHub يتخذ إجراءً حاسمًا

عالجت GitHub المشكلة اعتبارًا من 1 سبتمبر 2023، بعد الإفصاح المسؤول من قبل Checkmarx. في ضوء هذه الثغرة، يُنصح المستخدمون بتجنب استخدام مساحات الأسماء المتقاعدة لتقليل سطح الهجوم. بالإضافة إلى ذلك، يوصى بإجراء مراجعات شاملة للكود لضمان عدم وجود تبعيات قد تؤدي إلى اختراق المستودعات.

تُظهر ثغرة GitHub التي اكتشفتها Checkmarx التهديدات المستمرة للمشاريع مفتوحة المصدر. يحتاج المستخدمون إلى البقاء يقظين مع استمرار تطور طرق الهجوم.

موجز الإشارة

  • إشارة: ثغرة في GitHub تعرض أكثر من 4,000 حزمة لهجوم استيلاء المستودعات
  • المنطقة: عالمي
  • فئة السوق: اتجاهات الخدمات السحابية العالمية

البصمة التشغيلية

  • يجب أن تحدد المصادر المنشورة الأطراف المتأثرة، ونطاق التشغيل، والتعرض للسوق قبل اعتبار خريطة الاتجاه هذه مكتملة.

سياق السوق

  • الأهمية التشغيلية: متوسط
  • الأفق الزمني: الربع القادم

ما الذي تشاهده

  • راقب البيانات الرسمية، التحديثات التنظيمية، تعرض العملاء أو الشركاء، والإفصاحات المتابعة.

إحاطة الأعضاء

السياق الأعمق للاتجاهات

سجّل الدخول بمستوى العضوية المناسب لفتح الإحاطة الكاملة وملاحظات المصادر.

مخصص لـ Strategic Circle

Strategic Circle

مفتوح لجميع القراء. افتح إحاطات الاتجاهات بعد الانضمام وتسجيل الدخول.

انضم إلى Strategic Circle

فقط لـ Leadership Alliance

Leadership Alliance

للمشغلين والمستثمرين وفرق السياسات الذين يحتاجون إلى أدلة العلاقات ومسارات الفشل وملاحظات المصادر. سجل الدخول لفتح.

انضم إلى Leadership Alliance
رجوعالمزيد من التغطية: اتجاهات الخدمات السحابية العالمية