研究人员发现 GitHub 存在 RepoJacking 漏洞，用户库可遭挟持攻击

发布时间：2025-12-07 21:10:23 作者：玩站小弟

6 月 27 日消息，安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的 RepoJacking 漏洞，黑客可以利用该漏洞，入侵 GitHub 的私人或公开库，将这些组织内部环。

6 月 27 日消息，研究用户安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的发现 RepoJacking 漏洞，黑客可以利用该漏洞，存R持攻入侵 GitHub 的漏洞私人或公开库，将这些组织内部环境或客户环境中的遭挟文件替换为带有恶意代码的版本，进行挟持攻击。服务器租用研究用户

据悉，发现当 GitHub 用户 / 组织更改其名称时，存R持攻可能会发生 RepoJacking，漏洞这是遭挟一种供应链攻击，允许攻击者接管 GitHub 项目的研究用户依赖项或整个项目，以对使用这些项目的发现任何设备运行恶意代码。香港云服务器

黑客可直接通过扫描互联网，存R持攻锁定需要攻击的漏洞 GitHub 库，并绕过 GitHub 存储库限制，遭挟将其中的文件替换为带有木马病毒的版本，在其他用户下载部署后，黑客即可操控用户终端，云计算进行攻击。

Aqua Nautilus 使用 Lyft 进行演示，他们创建了一个虚假的存储库，并对获取脚本进行了重定向，使用 install.sh 脚本的用户将在不知不觉中自己安装上带有恶意代码的 Lyft，截至发稿，源码下载Lyft 的漏洞已经被修复。

▲ 图源 Aqua Nautilus

研究人员同时发现谷歌在 GitHub 中的库也存在相关漏洞：

当用户访问 https://github.com/socraticorg/mathsteps 时，将被重定向到 https://github.com/google/mathsteps 因此最终用户将获谷歌的存储库。但是，由于 socraticorg 组织可用，模板下载攻击者可以打开 socraticorg / mathsteps 存储库，用户如果直接在终端中执行谷歌给的安装命令，实际上将会下载黑客替换过的恶意文件。

在 Aqua Nautilus 反馈后，谷歌目前也已经修复了这个问题。

Aqua Nautilus 表示，用户可以在 GitHub 库的高防服务器旧名称与新名称之间创建链接（将旧名称重定向到新名称）来规避 RepoJacking 漏洞，IT之家的小伙伴们可以参考这里获取更多相关信息。

Tag：

肯德基、必胜客母公司披露数据泄露事件，300家快餐厅被迫关闭
Yum! BrandsYum! Brands是肯德基、必胜客和Taco Bell快餐连锁店品牌的母公司）目前正向在1月13日勒索软件攻击中受影响的客户发送数据泄露通知函。此前，该公司表示，尽管一些数据
2025-12-07
小米max2和荣耀note8哪个好华为荣耀note8和小米m
小米max2采用6.44寸1080P显示屏，搭载骁龙625处理器，4GB运存+128GB存储，内置5300mAh超大容量电池，提供1200万大像素相机，支持双功放扬声器。相比小米Max1，小米Max2
2025-12-07
Android L上手体验评测
今早Google放出了Android L的开发者预览版，刷机精灵在今天上午表示已支持Android L一键刷机。我们使用Nexus 7 2013进行了体验，以下是感受分享。使用刷机精灵
2025-12-07
微信支付分是什么?微信支付分开通方法
既然微信想要涉足信用支付领域，就必然需要建立一套属于自己的信用评估体系。今年1月份腾讯推出的微信支付分功能正是未雨绸缪，为了“分付”业务的开展做铺垫。这一点上，微信支付分对标芝麻信用分，作为用户分期、
2025-12-07
公有云安全性和合规性方面的考虑事项
企业设置自己的服务器需要大量的前期投资和持续的维护，这就是当今大多数科技公司使用IaaS提供商来满足他们的计算需求的原因。像AWS、谷歌云和Microsoft Azure这样的云计算提供商负责基础设施
2025-12-07
excel格子设置成正方形的教程
相信大家都很喜欢在excel软件中编辑表格文件，这款办公软件为用户带来了不错的使用体验，因为excel软件中的强大功能为用户带来了许多便利，帮助用户有效避免许多重复且复杂的操作过程，让用户简单轻松的完
2025-12-07