研究人员发现 GitHub 存在 RepoJacking 漏洞，用户库可遭挟持攻击

发布时间：2025-12-07 14:59:46 作者：玩站小弟

6 月 27 日消息，安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的 RepoJacking 漏洞，黑客可以利用该漏洞，入侵 GitHub 的私人或公开库，将这些组织内部环。

6 月 27 日消息，研究用户安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的发现 RepoJacking 漏洞，黑客可以利用该漏洞，存R持攻入侵 GitHub 的漏洞私人或公开库，将这些组织内部环境或客户环境中的遭挟文件替换为带有恶意代码的版本，进行挟持攻击。服务器租用研究用户

据悉，发现当 GitHub 用户 / 组织更改其名称时，存R持攻可能会发生 RepoJacking ，漏洞这是遭挟一种供应链攻击，允许攻击者接管 GitHub 项目的研究用户依赖项或整个项目，以对使用这些项目的发现任何设备运行恶意代码。建站模板

黑客可直接通过扫描互联网，存R持攻锁定需要攻击的漏洞 GitHub 库，并绕过 GitHub 存储库限制，遭挟将其中的文件替换为带有木马病毒的版本，在其他用户下载部署后，黑客即可操控用户终端，免费模板进行攻击。

Aqua Nautilus 使用 Lyft 进行演示，他们创建了一个虚假的存储库，并对获取脚本进行了重定向，使用 install.sh 脚本的用户将在不知不觉中自己安装上带有恶意代码的 Lyft，截至发稿，香港云服务器Lyft 的漏洞已经被修复。

▲ 图源 Aqua Nautilus

研究人员同时发现谷歌在 GitHub 中的库也存在相关漏洞：

当用户访问 https://github.com/socraticorg/mathsteps 时，将被重定向到 https://github.com/google/mathsteps 因此最终用户将获谷歌的存储库。但是，由于 socraticorg 组织可用，高防服务器攻击者可以打开 socraticorg / mathsteps 存储库，用户如果直接在终端中执行谷歌给的安装命令，实际上将会下载黑客替换过的恶意文件。

在 Aqua Nautilus 反馈后，谷歌目前也已经修复了这个问题。

Aqua Nautilus 表示，用户可以在 GitHub 库的云计算旧名称与新名称之间创建链接（将旧名称重定向到新名称）来规避 RepoJacking 漏洞，IT之家的小伙伴们可以参考这里获取更多相关信息。

Tag：

多款本田车型存在漏洞，车辆可被远程控制
远程无钥匙进入系统RKE）能够允许操作者远程解锁或启动车辆。研究人员测试了一个远程无钥匙进入系统RKE），并在测试过程中发现了滚动式PWN攻击问题。据专家称，该问题影响到市场上的所有本田汽车从2012
2025-12-07
黑客声称已窃取3000万客户信息，微软否认数据遭泄露
微软于 6 月下旬发布博文，承认旗下 Microsoft 365 及 Azure 云服务遭到 DDoS 攻击。黑客组织 Anonymous Sudan 宣称对本次攻击负责，成功入侵了微软服务器，并窃取
2025-12-07
八款旨在窃取数据的假冒ChatGPT恶意应用
译者 | 陈峻审校 | 重楼目前，人们已开始逐渐习惯于借助ChatGPT开展各种日常工作，包括：搜寻答案、生成图文内容、解释复杂概念、以及编写程序代码等。不过，相对付费版本，免费版聊天机器人的局限性，
2025-12-07
curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级
curl 8.4.0 已正式发布，创始人 Daniel Stenberg社区称号 bagder）已提前一周预告了该版本—— 修复高危安全漏洞，并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏
2025-12-07
网络安全和身份访问管理的三大发展趋势
在网络安全和身份访问管理(IAM)领域有三个关键趋势值得关注：1、企业将优先考虑以身份为中心的零信任安全零信任是一种安全模型，它假设所有用户、设备和应用程序都可能受到威胁，在默认情况下不应该被信任。零
2025-12-07
聊一聊软件项目管理方法
每种软件项目管理方法都有其独特的特点、优缺点，适用于不同类型的项目。很多人认为我们经常使用的软件是完全安全的，但在软件行业中，事实远非如此。如今，大多数人视每天使用的软件为安全的事实，但这并不真实地反
2025-12-07