[资安人文章分享] GitHub 新漏洞可能导致 4000 多个程式库被劫持攻击

外媒披露GitHub一个新漏洞，该漏洞可能导致数千个程式储存库面临劫持攻击的风险。据了解，目前微软旗下的程式码托管平台已于 2023 年 9 月初解决此漏洞问题。

Checkmarx 安全研究员表示，一旦网路攻击者成功利用此漏洞，就可以劫持使用 Go、PHP 和 Swift 等语言的 4000 多个程式码包以及 GitHub 操作，整体影响开源社群的安全。

Repocapping 是存储库劫持（repository hijacking）的简称，是一种威胁攻击者能够绕过名为 popular repository namespace retirement 的安全机制，并最终控制存储库的技术。Popular repository namespace retirement的安全机制是在防止多个使用者使用相同命名的程式库。也就是说，多个重复的使用者名称与程式库的组合会被视为retired (已退役)。

如果此安全机制被绕过，威胁攻击者就可以用相同的用户名建立新帐户并上传恶意程式库，从而可能导致软体供应链攻击。

GitHub也曾在九个月前修补了一个相似的安全绕过漏洞，该漏洞可能会为劫持攻击打开方便之门，用户应留意。

原文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10689