18:40 / 04 июля 2025
Злоумышленники могут внедрить вредоносный код в более чем девять миллионов репозиториев на GitHub и атаковать цепочки поставок крупных компаний, в том числе Google.
Исследователи AquaSec «Nautilus» обнаружили уязвимость, известную как «RepoJacking», которая связана с особенностями зависимостей в GitHub. Когда компании меняют название, то создают новые репозитории, на которые отправляются обновления со старых. Злоумышленники могут создать «старое» имя пользователя и скопировать репозиторий. Таким образом, им не составит труда внести в него вредоносный код, который автоматически будет доступен и в новом репозитории компании.
Согласно данным AquaSec «Nautilus», этой уязвимости подвержены 2,95% всех репозиториев платформы, что составляет около девяти миллионов проектов. Среди них немало крупных компаний, в том числе Google.
Несмотря на то, что команда GitHub внедрила механизмы безопасности от этой уязвимости, они не защищают все репозитории – только популярные. Но и для них проблема не решена до конца, поскольку даже крупные проекты могут иметь зависимость от менее известных, в которые злоумышленники способны внедрить вредоносный код.
Специалисты отмечают, что пока нет «железного» решения этой проблемы, так как RepoJacking довольно популярен, и владельцам репозиториев следует сократить количество внешних зависимостей, а компаниям – тщательно проверять open source-код и минимизировать его использование в важных проектах.
Поделиться новостью
18:40 / 04 июля 2025
18:20 / 04 июля 2025
18:00 / 04 июля 2025
17:40 / 04 июля 2025
В России ввели уголовную ответственность за дропперство
18:40 / 04 июля 2025
UserGate открыл первую в РФ лабораторию в Новосибирске
17:20 / 04 июля 2025
Microsoft помогал 13-летний «белый» хакер
17:00 / 04 июля 2025
Мошенники обманывают пенсионеров под видом перерасчета пенсии
14:00 / 04 июля 2025