+7 (812) 677-17-05

Репозитории Go на Github уязвимы к атакам

#

Исследователи обнаружили более 15 тысяч репозиториев модулей Go на GitHub, уязвимых к захвату репозитория, он же RepoJacking. Более 9 тысяч из-за смены имён юзеров, более 6 тысяч на удалённых аккаунтах. Суммарно в них лежат ~800 тысяч версий модулей, так что потенциал атак на цепочку поставок солидный.

Проблема усложняется тем, что в отличие от npm и PyPI у Go нет централизованных репозиториев, и они публикуются децентрализованно на том же Гитхабе. Так что стандартные методы компании по борьбе с RepoJacking здесь неэффективны — злоумышленник может кэшировать модуль на зеркале в обход основного репа. В общем, решение нетривиальной проблемы лежит на Go и GitHub — энтузиасты 15 тысяч защитных аккаунтов вряд ли нарегистрируют. А до тех пор разработчикам на Go придётся под лупой отслеживать статус используемых модулей и репозиториев.

10.12.2023 Новости
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных