GitHub 曝出漏洞，或导致 4000 多个存储库遭受劫持攻击

发布时间：2025-12-07 19:42:03 作者：玩站小弟

The Hacker News 网站披露，安全研究员发现 GitHub 中存在一个新安全漏洞，该漏洞可能导致数千个存储库面临劫持攻击的风险。据悉，在 2023 年 3 月 1 日漏洞披露后，微软旗下的。

The 曝出Hacker News 网站披露，安全研究员发现 GitHub 中存在一个新安全漏洞，漏洞该漏洞可能导致数千个存储库面临劫持攻击的或导风险。据悉，致多遭受在 2023 年 3 月 1 日漏洞披露后，个存攻击微软旗下的储库代码托管平台已于 2023 年 9 月 1 日解决了安全漏洞问题。

Checkmarx 安全研究员 Elad Rapoport 在与 The 劫持Hacker News 分享的一份技术报告中指出，香港云服务器漏洞问题影响深远，曝出一旦网络攻击者成功利用安全漏洞，漏洞便可以劫持使用 Go、或导PHP 和 Swift 等语言的致多遭受 4000 多个代码包以及 GitHub 操作，从而影响开源社区的个存攻击安全。

repocapping 是储库存储库劫持（repository hijacking）的高防服务器简称，是劫持一种威胁攻击者能够绕过一种流行的存储库命名空间退役的安全机制并最终控制存储库的技术。（该保护措施的曝出作用是防止其他用户在重命名其用户帐户时创建与包含 100 个以上克隆的源码库存储库同名的存储库。）换句话说，用户名和存储库名称的组合被视为“已退役”状态。

如果这一保障措施被轻易规避，威胁攻击者就可以用相同的用户名创建新账户并上传恶意存储库，从而可能导致软件供应链攻击。服务器租用

Checkmarx 提出的新方法主要利用了创建存储库和重命名用户名之间的潜在竞争条件来实现劫持存储库。具体来说，需要以下步骤：

受害者拥有命名空间 "victim_user/repo受害者将 "victim_user "重命名为 "renamed_user"受害者用户/repo "版本库已退役用户名为 "acker_user "的威胁攻击者同时创建一个名为 "repo "的存储库，并将用户名 "acker_user "重命名为 "victor_user"

最后一步是使用 API 请求创建版本库，建站模板并截获重命名请求以更改用户名。

值得一提的是，GitHub 在近九个月前还修补了一个类似的绕过漏洞，该漏洞可能会为劫持攻击打开“方便之门” 。

文章来源：https://thehackernews.com/2023/09/critical-github-vulnerability-exposes.html

Tag：

制造业的网络战场：弹性战略
TrustWave的首席信息安全官Kory Daniels概述了几种应对勒索软件、网络钓鱼攻击和第三方风险的缓解技术，以确保制造业的安全。制造业贯穿于我们日常生活的方方面面，从我们在陆地、空中和海上使
2025-12-07
excel文本框的文字设置位于正中间的教程
excel软件是大部分用户经常使用一款电子表格制作软件，为用户带来了许多的便利和好处，并且深受用户的喜爱，而且软件中的功能是很强大的，能够帮助用户有效避免重复和复杂的操作过程，因此excel软件成为了
2025-12-07
M6s固态硬盘的性能评测（全方位解析M6s固态硬盘的速度、稳定性与耐用性）
近年来，随着科技的不断进步，固态硬盘在存储设备领域中占据了重要地位。作为一款备受关注的产品，M6s固态硬盘备受瞩目。本文将全面评测M6s固态硬盘的性能，从速度、稳定性和耐用性三个方面进行解析，以帮助读
2025-12-07
安卓手机耗电快怎么办？
1)数据没有关闭，在使用的过程中，我们上网之后，网络数据或者wifi一直没有关闭，因此导致还在后台运行着。所以还是需要花费我们的电量。小编建议，停用数据的时候，就顺手把数据关闭掉。不然不仅流量还在消耗
2025-12-07
因收集Android 位置数据，Google被罚六千万美元
近日，澳大利亚公平竞争和消费者委员会(ACCC)发布消息称，谷歌2017年1月至2018年 12 月的时间里，存在收集和使用其位置数据并误导澳大利亚 Android 用户，被处以6000万美元(约合人
2025-12-07
安卓手机休眠状态保持WiFi连接方法
现如今，智能手机之所以被大家所青睐，很大原因就是手机可以随时随地上网娱乐，手机WiFi的使用也是非常给力的，但手机进入了休眠状态，WiFi就会关闭，那么如果下载东西就不能休眠下载了。1)打开手机“设置
2025-12-07