AquaSec 的安全团队发现,数以百万计的 GitHub 项目易受依赖库劫持攻击。这一攻击方法又被称为 RepoJacking,可被攻击者用于发动影响大量用户的供应链攻击。GitHub 上的用户名和项目或库的名字会频繁更改,如通过合并或收购,一个项目会成为另一个组织的一部分。当这种情况发生后,为了避免破坏其它项目的依赖关系,会创建一个重定向。但如果有人用旧的名字创建了账号,那么重定向会无效。这就是 RepoJacking 攻击。GitHub 实现了部分防御方法抵御此类攻击,但研究人员发现到目前为止防御方案是不完整的,很容易绕过。研究人员估计有数百万项目受到 RepoJacking 攻击影响。
https://blog.aquasec.com/github-dataset-research-reveals-millions-potentially-vulnerable-to-repojacking
