Una nueva investigaci\u00f3n ha descubierto que m\u00e1s de 15.000 repositorios de m\u00f3dulos Go en GitHub son vulnerables a un ataque llamado repojacking.<\/p>\n
“M\u00e1s de 9.000 repositorios son vulnerables al repojacking debido a cambios en el nombre de usuario de GitHub”, dijo Jacob Baines, director de tecnolog\u00eda de VulnCheck. dicho<\/a> en un informe compartido con The Hacker News. “M\u00e1s de 6.000 repositorios eran vulnerables al repojacking debido a la eliminaci\u00f3n de cuentas”.<\/p>\n En conjunto, estos repositorios representan nada menos que 800.000 versiones de m\u00f3dulos Go.<\/p>\n Aprenda a detectar amenazas internas con estrategias de respuesta de aplicaciones<\/p>\n <\/a> <\/p>\n Descubra c\u00f3mo la detecci\u00f3n de aplicaciones, la respuesta y el modelado de comportamiento automatizado pueden revolucionar su defensa contra amenazas internas.<\/p>\n \u00danete ahora<\/a> <\/section>\n El repojacking, un acr\u00f3nimo de “repositorio” y “secuestro”, es una t\u00e9cnica de ataque que permite a un mal actor aprovechar los cambios y eliminaciones del nombre de usuario de la cuenta para crear un repositorio con el mismo nombre y el nombre de usuario preexistente para organizar el c\u00f3digo abierto. Ataques a la cadena de suministro de software.<\/p>\n A principios de junio, la empresa de seguridad en la nube Aqua revel\u00f3 que millones de repositorios de software en GitHub probablemente sean vulnerables a la amenaza, instando a las organizaciones que se someten a cambios de nombre a asegurarse de que a\u00fan poseen su nombre anterior como marcadores de posici\u00f3n para evitar dicho abuso.<\/p>\n Los m\u00f3dulos escritos en el lenguaje de programaci\u00f3n Go son particularmente susceptibles al repojacking ya que, a diferencia de otras soluciones de administraci\u00f3n de paquetes como npm o PyPI, est\u00e1n descentralizados debido al hecho de que se publican en plataformas de control de versiones como GitHub o Bitbucket.<\/p>\n “Cualquiera puede entonces indicarle al espejo del m\u00f3dulo Go y a pkg.go.dev que almacenen en cach\u00e9 los detalles del m\u00f3dulo”, dijo Baines. “Un atacante puede registrar el nombre de usuario reci\u00e9n no utilizado, duplicar el repositorio del m\u00f3dulo y publicar un nuevo m\u00f3dulo en proxy.golang.org y go.pkg.dev”.<\/p>\n Para evitar que los desarrolladores eliminen paquetes potencialmente inseguros, GitHub ha implementado una contramedida llamada retiro de espacio de nombres de repositorio popular que bloquea los intentos de crear repositorios con los nombres de espacios de nombres retirados que han sido clonados m\u00e1s de 100 veces antes de que se cambiara el nombre o se cambiaran las cuentas de los propietarios. eliminado.<\/p>\n Pero VulnCheck se\u00f1al\u00f3 que esta protecci\u00f3n no es \u00fatil cuando se trata de m\u00f3dulos Go, ya que el sistema los almacena en cach\u00e9. espejo del m\u00f3dulo<\/a>obviando as\u00ed la necesidad de interactuar o clonar un repositorio”. En otras palabras, podr\u00eda haber m\u00f3dulos populares basados \u200b\u200ben Go que hayan sido clonados menos de 100 veces, lo que resultar\u00eda en una especie de omisi\u00f3n.<\/p>\n “Desafortunadamente, mitigar todos estos repositorios es algo que Go o GitHub tendr\u00e1n que asumir”, dijo Baines. “Un tercero no puede registrar razonablemente 15.000 cuentas de GitHub. Hasta entonces, es importante que los desarrolladores de Go est\u00e9n al tanto de los m\u00f3dulos que utilizan y del estado del repositorio del que se originaron los m\u00f3dulos”.<\/p>\n La divulgaci\u00f3n tambi\u00e9n se produce como Lasso Security dicho<\/a> descubri\u00f3 1.681 tokens API expuestos en Hugging Face y GitHub, incluidos aquellos asociados con Google, Meta, Microsoft y VMware, que podr\u00edan explotarse potencialmente para organizar la cadena de suministro, el envenenamiento de datos de entrenamiento y los ataques de robo de modelos.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/15000-repositorios-de-modulos-Go-en-GitHub-vulnerables-a-ataques.jpg\")
<\/a><\/center><\/div>\n