El servicio de alojamiento de repositorios basado en la nube GitHub ha abordado una falla de seguridad de alta gravedad que podr\u00eda haberse aprovechado para crear repositorios maliciosos y montar ataques a la cadena de suministro.<\/p>\n
los RepoJacking<\/b> t\u00e9cnica, revelado<\/a> por Checkmarx, implica eludir un mecanismo de protecci\u00f3n llamado retiro del espacio de nombres del repositorio popular<\/a>cuyo objetivo es evitar que los desarrolladores extraigan repositorios inseguros con el mismo nombre.<\/p>\n El problema fue abordado por la subsidiaria propiedad de Microsoft el 19 de septiembre de 2022 luego de una divulgaci\u00f3n responsable.<\/p>\n RepoJacking ocurre cuando un creador de un repositorio opta por cambiar el nombre de usuario, lo que podr\u00eda permitir que un actor de amenazas reclame el nombre de usuario anterior y publique un repositorio falso con el mismo nombre en un intento de enga\u00f1ar a los usuarios para que los descarguen.<\/p>\n Si bien la contramedida de Microsoft “retirar[s] el espacio de nombres de cualquier proyecto de c\u00f3digo abierto que tuviera m\u00e1s de 100 clones en la semana previa al cambio de nombre o la eliminaci\u00f3n de la cuenta del propietario”, Checkmarx descubri\u00f3 que esto se puede eludir a trav\u00e9s de la “transferencia de repositorio<\/a>” rasgo.<\/p>\n La forma en que esto funciona es la siguiente:<\/p>\n En otras palabras, el ataque depende de la peculiaridad de que GitHub solo considera como retirado el espacio de nombres, es decir, la combinaci\u00f3n de nombre de usuario y nombre de repositorio, lo que permite que un mal actor reutilice el nombre del repositorio junto con un nombre de usuario arbitrario.<\/p>\n![\"Error](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1667254043_962_El-error-de-recuperacion-de-GitHub-podria-haber-permitido-a.jpg\" "\\"Error")
<\/div>\n\n
![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEglTybVbyQ3y6xCIxW9BIpqhgWBf_IhNgCo44HrgwUeYVi_GwvasznH93LLdkqJLwdp4DUkFkILg6m3WDgkue7MFxmbzFxmTBe7-pukEjyvUZ3j9yGyBcL2yUAZVFSQkjSric7YYfU8WgwHwYsS2-3wZ1zLQDAqgkoEpk5kZsbUuyh0UlV8nq7PplYEgQ\/s1600\/banners-crowdsec-728.png\")
<\/a><\/div>\n
![\"Error](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhMA1oe87rpU9KqFf6ECSaUApgd9b7mBWtNyoZbbLU2unzRye5NBj4R-nr_7LMIY0ksFlzxnTd51BbIOkLoU1hLNGUpegEspFHtkheOOmLnky9EAEOoMXiOUS217ZsQnMtmM9X558bJTujXSUInzMXHk5TIjG8eTBT1jLNuMJadvMpWOppln9A1mI1Z\/s728-e1000\/patch.jpg\" "\\"Error")
<\/div>\n