„GitHub: Mehr als 4.000 Code-Pakete durch RepoJacking-Angriff gefährdet” wird von BTW Media profiliert, da veröffentlichte Belege eine Verbindung zu Internet-Infrastruktur, Governance, betrieblichen Abhängigkeiten oder Markttransparenz herstellen.
„GitHub: Mehr als 4.000 Code-Pakete durch RepoJacking-Angriff gefährdet” wird als Internet-Infrastruktur-Institution im Ökosystem der Internet-Infrastruktur verfolgt.
Mehrere öffentliche Quellen
GitHub, die weit verbreitete Code-Hosting-Plattform, hat bekannt gegeben, dass mehr als 4.000 Code-Pakete anfällig für RepoJacking-Angriffe sind. Diese von den Forschern von Checkmarx entdeckte Schwachstelle hat Besorgnis in der Open-Source-Community ausgelöst und GitHub zu schnellem Handeln veranlasst.
Der RepoJacking-Angriff erklärt
RepoJacking, kurz für Repository-Hijacking, ist eine Technik, die von böswilligen Akteuren verwendet wird, um die Kontrolle über ein Repository zu übernehmen. Diese Angriffsmethode nutzt eine Race-Condition zwischen den Prozessen der Repository-Erstellung und der Änderung des GitHub-Benutzernamens aus. Im Wesentlichen beanspruchen die Angreifer den alten Benutzernamen eines Repositorys, nachdem der legitime Ersteller seinen Benutzernamen geändert hat. Sie veröffentlichen dann ein bösartiges Repository mit demselben Namen und täuschen so Nutzer, die bösartigen Inhalt herunterladen.
Die Folgen dieser Schwachstelle sind erheblich. Sie betrifft mehr als 4.000 Code-Pakete in Programmiersprachen wie Go, PHP und Swift sowie die GitHub Actions. Viele dieser Pakete haben eine erhebliche Popularität mit mehr als 1.000 Sternen erlangt. Das potenzielle Ausmaß der Auswirkungen auf Millionen von Nutzern und verschiedene Anwendungen ist noch nicht vollständig bekannt.
Die Reaktion von GitHub
Checkmarx hat diese Schwachstelle am 1. März 2023 verantwortungsvoll an GitHub gemeldet, was die Plattform zum Handeln veranlasste. GitHub führte den Mechanismus der „Zurückziehung beliebter Repository-Namensräume“ ein, um RepoJacking zu verhindern. Mit dieser Sicherheitsmaßnahme gelten Repositories mit mehr als 100 Klonen zum Zeitpunkt einer Benutzernamensänderung als „zurückgezogen“ und können nicht von anderen verwendet werden. Die Kombination aus Benutzername und Repository-Name wird ebenfalls als „zurückgezogen“ betrachtet.
Es stellte sich jedoch heraus, dass die Sicherheitsmaßnahme leicht umgangen werden konnte. Checkmarx identifizierte mehr als 4.000 Pakete in Paketmanagern, die umbenannte Benutzernamen verwendeten und somit einem Hijacking-Risiko ausgesetzt waren.
So funktioniert der Angriff
Checkmarx beschrieb die Schritte des RepoJacking-Angriffs:
- Das Opfer besitzt den Namespace „victim_user/repo“.
- Das Opfer benennt „victim_user“ in „renamed_user“ um.
- Das Repository „victim_user/repo“ wird zurückgezogen.
- Ein Angreifer mit dem Benutzernamen „attacker_user“ erstellt gleichzeitig ein Repository namens „repo“ und benennt den Benutzernamen „attacker_user“ in „victim_user“ um.
Dies wird durch eine API-Anfrage zur Repository-Erstellung und eine Abhörung der Umbenennungsanfrage für die Benutzernamensänderung erreicht.
Fortbestehende Schwachstellen
Diese Entdeckung zeigt die anhaltenden Risiken, die mit dem Mechanismus der „Zurückziehung beliebter Repository-Namensräume“ von GitHub verbunden sind. Viele GitHub-Nutzer, einschließlich derjenigen, die beliebte Repositories und Pakete kontrollieren, nutzen die von GitHub angebotene Funktion „Benutzer umbenennen“. Dies macht die Umgehung der „Zurückziehung beliebter Repository-Namensräume“ zu einem attraktiven Ziel für Supply-Chain-Angreifer.
GitHub ergreift entschlossene Maßnahmen
GitHub hat das Problem ab dem 1. September 2023 nach der verantwortungsvollen Offenlegung durch Checkmarx behoben. Angesichts dieser Schwachstelle wird Nutzern empfohlen, die Verwendung zurückgezogener Namensräume zu vermeiden, um die Angriffsfläche zu minimieren. Darüber hinaus werden gründliche Code-Audits empfohlen, um sicherzustellen, dass keine Abhängigkeiten bestehen, die zum Hijacking von Repositories führen könnten.
Die von Checkmarx entdeckte GitHub-Schwachstelle zeigt die anhaltenden Bedrohungen für Open-Source-Projekte. Nutzer müssen wachsam bleiben, da sich die Angriffsmethoden ständig weiterentwickeln.
Signalbericht
- Signal: GitHub-Schwachstelle setzt über 4.000 Code-Pakete einem RepoJacking-Angriff aus
- Region: Global
- Marktklasse: Globale Cloud-Services-Trends
Betriebspräsenz
- Veröffentlichte Quellen sollten die betroffenen Parteien, den Betriebsfußabdruck und die Marktexposition identifizieren, bevor diese Trendkarte als vollständig betrachtet wird.
Marktkontext
- Operative Relevanz: Mittel
- Zeithorizont: Nächstes Quartal
Was ansehen?
- Achten Sie auf offizielle Stellungnahmen, regulatorische Aktualisierungen, Gefährdung von Kunden oder Partnern sowie ergänzende Offenlegungen.
Mitgliederbriefing
Vertiefter Trendkontext
Melden Sie sich mit der richtigen Mitgliedschaftsstufe an, um das vollständige Briefing und die Quellennotizen freizuschalten.
Nur für Strategic Circle
Strategic Circle
Offen für alle Leser. Schalten Sie Trend-Briefings nach Beitritt und Anmeldung frei.
Strategic Circle beitretenNur für Leadership Alliance
Leadership Alliance
Für Betreiber, Investoren und Politikteams, die Belege für Beziehungen, Fehlerpfade und Quellennotizen benötigen. Melden Sie sich an, um freizuschalten.
Leadership Alliance beitreten
