Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Alerta: Es probable que millones de repositorios de GitHub sean vulnerables a un ataque de RepoJacking
  • Tecnología

Alerta: Es probable que millones de repositorios de GitHub sean vulnerables a un ataque de RepoJacking

teknomers 22 de Haziran de 2023 (Last updated: 22 de Haziran de 2023) 3 minutes read
Alerta: Es probable que millones de repositorios de GitHub sean


22 de junio de 2023Ravie LakshmanánCadena de Suministro / Seguridad del Software

Es probable que millones de repositorios de software en GitHub sean vulnerables a un ataque llamado RepoJackingha revelado un nuevo estudio.

Esto incluye repositorios de organizaciones como Google, Lyft y varias otras, la firma de seguridad nativa de la nube con sede en Massachusetts Aqua dicho en un informe del miércoles.

La vulnerabilidad de la cadena de suministro, también conocida como secuestro del repositorio de dependencia, es una clase de ataques eso hace posible hacerse cargo de organizaciones o nombres de usuarios retirados y publicar versiones troyanizadas de repositorios para ejecutar código malicioso.

“Cuando el propietario de un repositorio cambia su nombre de usuario, se crea un enlace entre el nombre anterior y el nuevo para cualquiera que descargue dependencias del repositorio anterior”, dijeron los investigadores Ilay Goldman y Yakir Kadkoda. “Sin embargo, es posible que cualquiera cree el nombre de usuario anterior y rompa este enlace”.

La seguridad cibernética

Alternativamente, podría surgir un escenario similar cuando la propiedad de un repositorio se transfiere a otro usuario y la cuenta original se elimina, lo que permite que un mal actor cree una cuenta con el nombre de usuario anterior.

Aqua dijo que un actor de amenazas podría aprovechar sitios web como GHTorrent para extraer metadatos de GitHub asociados con cualquier compromiso público y solicitudes de extracción para compilar una lista de repositorios únicos.

Un análisis de un subconjunto de 1,25 millones de repositorios para el mes de junio de 2019 reveló que hasta 36 983 repositorios eran vulnerables a RepoJacking, lo que indica una tasa de éxito del 2,95 %.

Con GitHub que contiene más de 330 millones de repositorioslos hallazgos sugieren que millones de repositorios podrían ser vulnerables a un ataque similar.

Uno de esos repositorios es google/mathsteps, que anteriormente era propiedad de Socratic (socraticorg/mathsteps), una empresa que fue adquirida por Google en 2018.

“Cuando accede a https://github.com/socraticorg/mathsteps, se le redirige a https://github.com/google/mathsteps, por lo que eventualmente el usuario obtendrá el repositorio de Google”, dijeron los investigadores.

“Sin embargo, debido a que la organización socraticorg estaba disponible, un atacante podría abrir el repositorio socraticorg/mathsteps y los usuarios que sigan las instrucciones de Google clonarán el repositorio del atacante en su lugar. Y debido a la instalación de npm, esto conducirá a la ejecución de código arbitrario en los usuarios”.

Esta no es la primera vez que se plantean tales preocupaciones. En octubre de 2022, GitHub se movió para cerrar una laguna de seguridad que podría haberse aprovechado para crear repositorios maliciosos y montar ataques a la cadena de suministro al eludir el retiro del espacio de nombres del repositorio popular.

Para mitigar tales riesgos, se recomienda que los usuarios inspeccionen periódicamente su código en busca de enlaces que puedan estar recuperando recursos de repositorios externos de GitHub.

“Si cambia el nombre de su organización, asegúrese de que también posee el nombre anterior, incluso como marcador de posición, para evitar que los atacantes lo creen”, dijeron los investigadores.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ANÁLISIS. Por qué la ministra de Bouchez, Lahbib, no debería dimitir, aunque quisiera
Next: Controvertido barco de asilo partirá de Velsen-Noord la próxima semana

Related Stories

Astrónomos de UC Irvine descubren un nueva exoplaneta similar a
  • Tecnología

Astrónomos de UC Irvine descubren un nueva exoplaneta similar a la Tierra

teknomers 3 de Temmuz de 2026
El cifrado de Signal en una YubiKey: aquí está Darkup,
  • Tecnología

El cifrado de Signal en una YubiKey: aquí está Darkup, una nueva mensajería segura francesa

teknomers 3 de Temmuz de 2026
Badge de autopista: ¿para qué sirve y cómo funciona el
  • Tecnología

Badge de autopista: ¿para qué sirve y cómo funciona el telepeaje?

teknomers 3 de Temmuz de 2026

You May Have Missed

  • Deporte

Arsenal ficha a la leona Georgia Stanway del Bayern Múnich

teknomers 3 de Temmuz de 2026
  • General

Cita del día de Rumi: ‘La belleza nos rodea, pero usualmente necesitamos estar caminando en un…’ Poderosas palabras del popular poeta místico sobre la atención plena

teknomers 3 de Temmuz de 2026
  • General

Un « super tifón » amenaza las islas del Pacífico, con ráfagas de hasta 280 km/h esperadas

teknomers 3 de Temmuz de 2026
Fin de recorrido para Julian Nagelsmann, Jürgen Klopp esperado: tras
  • Deporte

Fin de recorrido para Julian Nagelsmann, Jürgen Klopp esperado: tras su desilusión, Alemania hace su revolución

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.