IT之家6月27日消息,安全公司Aqua曝光了该库的一个漏洞。 黑客可以利用此漏洞入侵私人或公共图书馆,并用恶意文件替换这些组织内部环境或客户环境中的文件。 用于劫持攻击的代码版本。
据悉,当用户/组织更改名称时,就会发生这种情况,这是一种供应链攻击,允许攻击者接管项目的依赖项或整个项目,从而在使用这些项目的任何设备上运行恶意代码。
黑客可以直接扫描互联网,锁定需要攻击的库,绕过存储库的限制,将其中的文件替换为带有木马病毒的版本。 其他用户下载并部署后,黑客就可以控制用户终端并进行攻击。
Aqua 使用 Lyft 进行了演示,他们创建了一个假的存储库并重定向了 fetch 脚本,使用 .sh 脚本的用户会在不知不觉中在自己身上安装带有恶意代码的 Lyft,截至发稿时,Lyft 的 bug 已被修复。
▲ 图片来源 Aqua
▲ 图片来源 Aqua
研究人员还在谷歌的库中发现了相关漏洞:
当用户访问时,他们将被重定向到 的存储库,以便最终用户获得访问权限。 但是,由于组织可用,攻击者可以打开 / 存储库,如果用户直接在终端中执行 给出的安装命令,实际上会下载被黑客替换的恶意文件。
经过 Aqua 的反馈,目前 已经修复了这个问题。
Aqua表示,用户可以在库的旧名称和新名称之间创建链接(将旧名称重定向到新名称)来规避该漏洞。 IT之家的朋友可以参考这里了解更多信息。
