Il servizio di hosting di repository basato su cloud GitHub ha risolto un bug di sicurezza di elevata gravità che poteva essere sfruttato per creare repository dannosi e montare attacchi alla catena di approvvigionamento.
La tecnica RepoJacking , divulgata da Checkmarx, comporta un bypass di un meccanismo di protezione chiamato popular repository namespace pension, che mira a impedire agli sviluppatori di estrarre repository non sicuri con lo stesso nome.
La questione è stata affrontata dalla controllata di proprietà di Microsoft il 19 settembre 2022 a seguito della divulgazione responsabile.
RepoJacking si verifica quando un creatore di un repository sceglie di modificare il nome utente, consentendo potenzialmente a un attore di minacce di rivendicare il vecchio nome utente e pubblicare un repository canaglia con lo stesso nome nel tentativo di indurre gli utenti a scaricarlo.
Bug di repojacking di GitHub
Mentre la contromisura di Microsoft “ritira lo spazio dei nomi di qualsiasi progetto open source che ha avuto più di 100 cloni nella settimana che ha portato alla ridenominazione o all’eliminazione dell’account del proprietario”, Checkmarx ha scoperto che ciò può essere aggirato attraverso la funzione “trasferimento del repository”.
Il modo in cui funziona è il seguente:
Un attore di minacce crea un repository con lo stesso nome del repository ritirato (ad esempio, “repo”) di proprietà di un utente denominato “vittima” ma con un nome utente diverso (ad esempio, “helper”)
“helper” trasferisce la proprietà di “repo” a un secondo account con nome utente “attacker”
“attaccante” rinomina il nome utente dell’account in “vittima”
Lo spazio dei nomi “victim/repo” è ora sotto il controllo dell’avversario.
In altre parole, l’attacco dipende dalla stranezza che GitHub considera ritirato solo lo spazio dei nomi, ovvero la combinazione di nome utente e nome del repository, consentendo di riutilizzare il nome del repository insieme a un nome utente arbitrario.
Bug di repojacking di GitHub
Il Bug avrebbe potuto effettivamente consentire agli aggressori di spingere repository avvelenati, mettendo i nomi utente rinominati a rischio di essere vittime di attacchi alla catena di approvvigionamento.
“Se non esplicitamente curati, tutti i nomi utente rinominati su GitHub erano vulnerabili a questo difetto, inclusi oltre 10.000 pacchetti sui gestori di pacchetti Go, Swift e Packagist”, ha affermato il ricercatore di Checkmarx Aviad Gershon.
Apple Android Tecnologia Netflix Prime Video Offerte
Scarica la nostra App per iOS e Android. 🎬 Con tutte le news aggiornate destinata a tutti gli appassionati di Tecnologia, Apple e tutte le novità in arrivo su 🍿 Netflix, Disney e Prime Video.
Ora puoi ricevere tutti i contenuti di PlayBlog.it direttamente nel tuo telefono!
❤️ Scarica la nostra App ❤️
Seguici su Telegram Canale Netflix Offerte Amazon Prime Video
➡️ Seguici su Telegram nel Canale Netflix: https://t.me/newsITAnetflix
📲 Seguici su Telegram Canale Disney+: https://t.me/disneystreaming
⭐️Seguici su Telegram Canale Prime Video: https://t.me/primevideoita