GitHub 漏洞暴露 4000+ 代码包易受 RepoJacking 攻击

BTW Media 跟踪“GitHub 漏洞暴露 4000+ 代码包易受 RepoJacking 攻击”事件，因为公开证据将其与互联网基础设施、治理、运营依赖或市场可见性联系起来。

来自 PixaBay 的图像

广泛使用的代码托管平台 GitHub 透露，超过 4,000 个代码软件包易受 RepoJacking 攻击。Checkmarx 研究人员发现这一漏洞，已在开源社区引起关注，并促使 GitHub 迅速采取行动。

RepoJacking 攻击解析

RepoJacking（仓库劫持）是一种威胁行为者用来接管仓库的技术。这种攻击方法涉及利用 GitHub 仓库创建和用户名重命名过程之间的竞争条件。本质上，攻击者在合法创建者更改用户名后，认领仓库的旧用户名。然后，他们发布一个同名的恶意仓库，欺骗用户下载恶意内容。

这一漏洞的后果是深远的。它影响超过 4,000 个代码包，涉及 Go、PHP、Swift 等编程语言以及 GitHub Actions。其中许多包已经获得了可观的流行度，拥有超过 1,000 个星标。我们尚未揭示其对数百万用户和各种应用程序的潜在影响。

GitHub 的响应

Checkmarx 于 2023 年 3 月 1 日负责任地向 GitHub 披露了此漏洞，促使该平台采取行动。GitHub 引入了“popular repository namespace retirement”机制以防止 RepoJacking。凭借此安全措施，在用户名更改时拥有超过 100 次克隆的仓库被视为“已退役”，其他人无法使用。用户名和仓库名的组合也被视为“已退役”。

然而，这一安全措施被证明易于规避。Checkmarx 在包管理器中发现了超过 4,000 个使用了已重命名用户名的包，使它们面临被劫持的风险。

攻击如何运作

Checkmarx 概述了 RepoJacking 攻击涉及的步骤：

1. 受害者拥有命名空间 “victim_user/repo”。
2. 受害者将 “victim_user” 重命名为 “renamed_user”。
3. “victim_user/repo” 仓库变为已退役。
4. 用户名为 “attacker_user” 的攻击者同时创建一个名为 “repo” 的仓库，并将用户名 “attacker_user” 重命名为 “victim_user”。

这是通过仓库创建的 API 请求和拦截用户名更改的重命名请求来实现的。

持续存在的漏洞

这一发现显示了与 GitHub “popular repository namespace retirement” 机制相关的持续风险。许多 GitHub 用户，包括那些控制流行仓库和包的用户，选择使用 GitHub 提供的 “User rename” 功能。这使得绕过“popular repository namespace retirement”成为供应链攻击者的诱人目标。

GitHub 采取果断行动

在 Checkmarx 负责任披露后，GitHub 已于 2023 年 9 月 1 日解决了该问题。鉴于这一漏洞，建议用户避免使用已退役的命名空间，以减少攻击面。此外，建议进行彻底的代码审计，以确保不存在可能导致仓库劫持的依赖关系。

Checkmarx 发现的 GitHub 漏洞表明，开源项目面临持续的威胁。随着攻击方法的不断演变，用户需要保持警惕。