GitHub Vulnerability Exposes 4,000+ to RepoJacking Attack

Imagen de PixaBay

GitHub, la ampliamente utilizada plataforma de alojamiento de código, reveló que más de 4.000 paquetes de código son vulnerables a ataques de RepoJacking. Esta falla, descubierta por investigadores de Checkmarx, ha generado preocupación en la comunidad de código abierto y provocado una rápida acción por parte de GitHub. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

El ataque RepoJacking explicado Ver también: Asociación ECHOES.

RepoJacking, abreviatura de secuestro de repositorio, es una técnica utilizada por actores de amenazas para tomar el control de un repositorio. Este método de ataque implica explotar una condición de carrera entre los procesos de creación de repositorios y cambio de nombre de usuario de GitHub. Básicamente, los atacantes reclaman el antiguo nombre de usuario de un repositorio después de que el creador legítimo cambie su nombre de usuario. Luego publican un repositorio falso con el mismo nombre, engañando a los usuarios para que descarguen contenido malicioso. Ver también: IT Department - Athlok.

Las consecuencias de esta vulnerabilidad son de gran alcance. Afecta a más de 4.000 paquetes de código en lenguajes de programación como Go, PHP y Swift, así como a las acciones de GitHub. Muchos de estos paquetes han ganado una popularidad significativa, con más de 1.000 estrellas. Aún desconocemos el impacto potencial en millones de usuarios y diversas aplicaciones. Ver también: Alejandro Estua.

Respuesta de GitHub Ver también: Alejandro Manzo.

Checkmarx reveló de manera responsable esta vulnerabilidad a GitHub el 1 de marzo de 2023, lo que provocó la acción de la plataforma. GitHub introdujo el mecanismo de “retiro de espacio de nombres de repositorios populares” para prevenir el RepoJacking. Con esta medida de seguridad, los repositorios con más de 100 clones en el momento del cambio de nombre de usuario se consideran “retirados” y no pueden ser utilizados por otros. La combinación del nombre de usuario y el nombre del repositorio también se considera “retirada”. Ver también: Alejandro Hernandez.

Sin embargo, la medida de seguridad resultó ser fácilmente evadida. Checkmarx identificó más de 4.000 paquetes en gestores de paquetes que usaban nombres de usuario renombrados, poniéndolos en riesgo de secuestro. Ver también: Alejandro Garza.

Cómo funciona el ataque Ver también: Alejandro Guerrero.

Checkmarx describió los pasos involucrados en el ataque de RepoJacking:

1. La víctima posee el espacio de nombres “victim_user/repo”.
2. La víctima cambia “victim_user” a “renamed_user”.
3. El repositorio “victim_user/repo” pasa a estar retirado.
4. Un atacante con el nombre de usuario “attacker_user” crea simultáneamente un repositorio llamado “repo” y cambia su nombre de usuario de “attacker_user” a “victim_user”.

Esto se logra a través de una solicitud a la API para la creación del repositorio y la interceptación de una solicitud de cambio de nombre para el cambio de nombre de usuario.

Vulnerabilidades persistentes

Este descubrimiento muestra los riesgos continuos asociados con el mecanismo de “retiro de espacio de nombres de repositorios populares” de GitHub. Muchos usuarios de GitHub, incluidos aquellos que controlan repositorios y paquetes populares, optan por utilizar la función “User rename” ofrecida por GitHub. Esto hace que eludir el “retiro de espacio de nombres de repositorios populares” sea un objetivo atractivo para los atacantes de la cadena de suministro.

GitHub toma medidas decisivas

GitHub ha solucionado el problema a partir del 1 de septiembre de 2023, después de la divulgación responsable por parte de Checkmarx. A la luz de esta vulnerabilidad, es aconsejable que los usuarios eviten usar espacios de nombres retirados para minimizar la superficie de ataque. Además, se recomienda realizar auditorías de código exhaustivas para garantizar que no existan dependencias que puedan conducir al secuestro de repositorios.

La vulnerabilidad de GitHub descubierta por Checkmarx muestra las amenazas persistentes a los proyectos de código abierto. Los usuarios deben permanecer atentos a medida que los métodos de ataque continúan evolucionando.