09:30 / 21 октября 2025
Злоумышленники могут внедрить вредоносный код в более чем девять миллионов репозиториев на GitHub и атаковать цепочки поставок крупных компаний, в том числе Google.
Исследователи AquaSec «Nautilus» обнаружили уязвимость, известную как «RepoJacking», которая связана с особенностями зависимостей в GitHub. Когда компании меняют название, то создают новые репозитории, на которые отправляются обновления со старых. Злоумышленники могут создать «старое» имя пользователя и скопировать репозиторий. Таким образом, им не составит труда внести в него вредоносный код, который автоматически будет доступен и в новом репозитории компании.
Согласно данным AquaSec «Nautilus», этой уязвимости подвержены 2,95% всех репозиториев платформы, что составляет около девяти миллионов проектов. Среди них немало крупных компаний, в том числе Google.
Несмотря на то, что команда GitHub внедрила механизмы безопасности от этой уязвимости, они не защищают все репозитории – только популярные. Но и для них проблема не решена до конца, поскольку даже крупные проекты могут иметь зависимость от менее известных, в которые злоумышленники способны внедрить вредоносный код.
Специалисты отмечают, что пока нет «железного» решения этой проблемы, так как RepoJacking довольно популярен, и владельцам репозиториев следует сократить количество внешних зависимостей, а компаниям – тщательно проверять open source-код и минимизировать его использование в важных проектах.
Поделиться новостью
09:30 / 21 октября 2025
21:00 / 20 октября 2025
20:30 / 20 октября 2025
20:00 / 20 октября 2025
Суд США запретил NSO Group взламывать WhatsApp
09:30 / 21 октября 2025
Российский вендор UserGate вошел в систему ГосСОПКА
16:50 / 20 октября 2025
Веб-приложения с ИИ оказались уязвимыми
16:00 / 20 октября 2025
Взлом и Утечки
Киберпреступления
15:30 / 20 октября 2025