GitHub Repojacking バグにより、攻撃者が他のユーザーのリポジトリを乗っ取ることができた可能性がある from thehackernews.com
security summary
これにより、攻撃者が古いユーザー名を要求し、ユーザーをだましてダウンロードさせるために同じ名前の不正なリポジトリを公開できる可能性があります。
Microsoft の対抗策は「所有者のアカウントの名前変更または削除に至るまでの 1 週間に 100 を超えるクローンを作成したオープン ソース プロジェクトの名前空間を廃止する」ものですが、Checkmarx は「リポジトリ転送」機能を使用してこれを回避できることを発見しました。
攻撃者は、「被害者」という名前のユーザーが所有する廃止されたリポジトリ (「レポ」など) と同じ名前のリポジトリを作成しますが、別のユーザー名 (「ヘルパー」など) を使用します。
言い換えれば、攻撃は、GitHub が名前空間を廃止したとのみ見なす癖、つまり、ユーザー名とリポジトリ名の組み合わせに依存し、悪意のあるアクターが任意のユーザー名と組み合わせてリポジトリ名を再利用できるようにします。
コメント