15 000 репозиториев модулей Go на GitHub уязвимы для атаки методом «захват репозитория»
Данный тип атаки позволяет хакерам злонамеренно использовать смену имени или полное удаление аккаунта на GitHub, выполненную его законным владельцем. Чтобы сделать это, злоумышленники создают абсолютно новый репозиторий, имя которого совпадает со старым, а затем используют его связи с другими звеньями в цепочке поставок ПО для распространения вредоносного кода.
Уязвимые репозитории содержат 800 тысяч версий модулей Go, которые используются разработчиками по всему миру. Следовательно, захват хотя бы части этих репозиториев может привести к серьёзным последствиям для кибербезопасности множества программных продуктов.
GitHub пытается бороться с подобными атаками, блокируя создание репозиториев под ранее удалёнными популярными именами. Но это не эффективно в случае с модулями Go, которые кэшируются в обход основного репозитория.
