[資安人文章分享] GitHub 新漏洞可能導致 4000 多個程式庫被劫持攻擊

外媒披露GitHub一個新漏洞，該漏洞可能導致數千個程式儲存庫面臨劫持攻擊的風險。據了解，目前微軟旗下的程式碼託管平臺已於 2023 年 9 月初解決此漏洞問題。

Checkmarx 安全研究員表示，一旦網路攻擊者成功利用此漏洞，就可以劫持使用 Go、PHP 和 Swift 等語言的 4000 多個程式碼包以及 GitHub 操作，整體影響開源社群的安全。

Repocapping 是存儲庫劫持（repository hijacking）的簡稱，是一種威脅攻擊者能夠繞過名為 popular repository namespace retirement 的安全機制，並最終控制存儲庫的技術。Popular repository namespace retirement的安全機制是在防止多個使用者使用相同命名的程式庫。也就是說，多個重複的使用者名稱與程式庫的組合會被視為retired (已退役)。

如果此安全機制被繞過，威脅攻擊者就可以用相同的用戶名建立新帳戶並上傳惡意程式庫，從而可能導致軟體供應鏈攻擊。

GitHub也曾在九個月前修補了一個相似的安全繞過漏洞，該漏洞可能會為劫持攻擊打開方便之門，用戶應留意。

原文連結：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10689