Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Una vulnerabilidad crítica de GitHub expone más de 4000 repositorios a un ataque de repojacking
  • Tecnología

Una vulnerabilidad crítica de GitHub expone más de 4000 repositorios a un ataque de repojacking

teknomers 12 de Eylül de 2023 (Last updated: 12 de Eylül de 2023) 3 minutes read
Una vulnerabilidad crítica de GitHub expone más de 4000 repositorios


12 de septiembre de 2023THNSeguridad/vulnerabilidad del software

Una nueva vulnerabilidad revelada en GitHub podría haber expuesto a miles de repositorios al riesgo de ataques de repojacking, según muestran nuevos hallazgos.

La falla “podría permitir a un atacante explotar una condición de carrera dentro de las operaciones de creación de repositorios y cambio de nombre de nombre de usuario de GitHub”, dijo el investigador de seguridad de Checkmarx, Elad Rapoport. dicho en un informe técnico compartido con The Hacker News.

“La explotación exitosa de esta vulnerabilidad impacta a la comunidad de código abierto al permitir el secuestro de más de 4.000 paquetes de código en lenguajes como Go, PHP y Swift, así como acciones de GitHub”.

Tras la divulgación responsable el 1 de marzo de 2023, la plataforma de alojamiento de código propiedad de Microsoft abordó el problema a partir del 1 de septiembre de 2023.

La seguridad cibernética

El repojacking, abreviatura de secuestro de repositorio, es una técnica en la que un actor de amenazas puede eludir un mecanismo de seguridad llamado retiro de espacio de nombres de repositorio popular y, en última instancia, controlar un repositorio.

Lo que hace la medida de protección es evitar que otros usuarios creen un repositorio con el mismo nombre que un repositorio con más de 100 clones en el momento en que se cambia el nombre de su cuenta de usuario. En otras palabras, la combinación del nombre de usuario y el nombre del repositorio se considera “retirada”.

Si esta salvaguarda se eludiera trivialmente, podría permitir a los actores de amenazas crear nuevas cuentas con el mismo nombre de usuario y cargar repositorios maliciosos, lo que podría conducir a ataques a la cadena de suministro de software.

Ataque de repositorio

El nuevo método descrito por Checkmarx aprovecha una posible condición de carrera entre la creación de un repositorio y el cambio de nombre de un nombre de usuario para lograr el repojacking. Específicamente, implica los siguientes pasos:

  1. La víctima posee el espacio de nombres “victim_user/repo”
  2. La víctima cambia el nombre de “usuario_víctima” a “usuario_renombrado”
  3. El repositorio “victim_user/repo” ya está retirado
  4. Un actor de amenazas con el nombre de usuario “usuario_atacante” crea simultáneamente un repositorio llamado “repo” y cambia el nombre del nombre de usuario “usuario_atacante” a “usuario_víctima”.

El último paso se logra mediante una solicitud API para la creación del repositorio y una intercepción de solicitud renombrada para el cambio de nombre de usuario. El desarrollo se produce casi nueve meses después de que GitHub parcheara un falla de derivación similar que podría abrir la puerta a ataques de repositorio.

“El descubrimiento de esta nueva vulnerabilidad en las operaciones de creación de repositorios y cambio de nombre de nombre de usuario de GitHub subraya los riesgos persistentes asociados con el mecanismo de ‘retiro de espacio de nombres de repositorio popular'”, dijo Rapoport.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Ya no puedes pagar en Ebay
Next: En TV8 continúa el viaje de las parejas competidoras hacia Kolhapur, Badami y Hampi. ¿Quién tendrá que abandonar el juego?

Related Stories

Durante las rebajas, el Google Pixel 10 Pro está disponible
  • Tecnología

Durante las rebajas, el Google Pixel 10 Pro está disponible a precio reducido y baja de los 850€

teknomers 7 de Temmuz de 2026
BYD habría intentado entrar en Renault: el golpe de thunder
  • Tecnología

BYD habría intentado entrar en Renault: el golpe de thunder que París bloqueó

teknomers 7 de Temmuz de 2026
Para duplicar el espacio de almacenamiento de tu PlayStation 5,
  • Tecnología

Para duplicar el espacio de almacenamiento de tu PlayStation 5, este SSD de 1 To está disponible por solo 130€

teknomers 7 de Temmuz de 2026

You May Have Missed

  • General

Détroit de Ormuz: un tercer barco atacado en 24 horas

teknomers 7 de Temmuz de 2026
  • General

Lecciones de vida sobre el orgullo: Proverbio griego del día: ‘El pájaro inteligente cae por el pico…’- Una lección atemporal sobre el orgullo, la sobreconfianza y saber cuándo mantenerse en silencio

teknomers 7 de Temmuz de 2026
  • Deporte

Tour de Francia: clasificación de la cuarta etapa y clasificación general, con un nuevo maillot amarillo

teknomers 7 de Temmuz de 2026
  • Deporte

Resultados de Wimbledon 2026: Jannik Sinner avanza a semifinales tras vencer a Jan-Lennard Struff

teknomers 7 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.