Миллионы репозиториев на GitHub могут быть уязвимы перед атаками RepoJacking 🧬 Исследователи компании Aqua полагают, что миллионы репозиториев на GitHub уязвимы для атаки, которая позволяет захватывать чужие репозитории и получила имя RepoJacking. Сообщается, что проблема затрагивает репозитории Google, Lyft и других крупных компаний. 📩 Эти выводы были сделаны после анализа выборки из 1,25 млн репозиториев GitHub, в ходе которого эксперты обнаружили, что около 2,95% из них уязвимы для RepoJacking. Экстраполируя этот процент на всю базу из 300 млн репозиториев GitHub, исследователи подсчитали, что проблема затрагивает примерно 9 млн проектов. 😊 Суть атаки RepoJacking проста. Дело в том, что на GitHub регулярно меняются имена пользователей и имена репозиториев (например, из-за того, что организация сменила название бренда). Когда такое происходит, создается специальное перенаправление, которое позволяет избежать нарушения зависимостей для проектов, использующих код из репозиториев, сменивших имя. Однако если кто-то регистрирует старое имя, это перенаправление становится недействительным.