(資料圖片)

IT之家 6 月 27 日消息，安全公司 Aqua Nautilus 日前曝光了 GitHub 庫中存在的 RepoJacking 漏洞，黑客可以利用該漏洞，入侵 GitHub 的私人或公開庫，將這些組織內部環境或客戶環境中的文件替換為帶有惡意代碼的版本，進行挾持攻擊。

據悉，當 GitHub 用戶 / 組織更改其名稱時，可能會發生 RepoJacking，這是一種供應鏈攻擊，允許攻擊者接管 GitHub 項目的依賴項或整個項目，以對使用這些項目的任何設備運行惡意代碼。

黑客可直接通過掃描互聯網，鎖定需要攻擊的 GitHub 庫，并繞過 GitHub 存儲庫限制，將其中的文件替換為帶有木馬病毒的版本，在其他用戶下載部署后，黑客即可操控用戶終端，進行攻擊。

Aqua Nautilus 使用 Lyft 進行演示，他們創建了一個虛假的存儲庫，并對獲取腳本進行了重定向，使用 install.sh腳本的用戶將在不知不覺中自己安裝上帶有惡意代碼的 Lyft，截至發稿，Lyft 的漏洞已經被修復。

▲ 圖源 Aqua Nautilus ▲ 圖源 Aqua Nautilus

研究人員同時發現谷歌在 GitHub 中的庫也存在相關漏洞：

當用戶訪問 https://github.com/socraticorg/mathsteps時，將被重定向到 https://github.com/google/mathsteps因此最終用戶將獲谷歌的存儲庫。但是，由于 socraticorg 組織可用，攻擊者可以打開 socraticorg / mathsteps 存儲庫，用戶如果直接在終端中執行谷歌給的安裝命令，實際上將會下載黑客替換過的惡意文件。

在 Aqua Nautilus 反饋后，谷歌目前也已經修復了這個問題。

Aqua Nautilus 表示，用戶可以在 GitHub 庫的舊名稱與新名稱之間創建鏈接（將舊名稱重定向到新名稱）來規避 RepoJacking 漏洞，IT之家的小伙伴們可以參考這里獲取更多相關信息。

關鍵詞：