Sovellukset, jotka käyttävät GitHubin vanhoja arkiston nimiä riippuvuuksina, voivat itse asiassa johtaa käyttäjät haittaohjelmiin. Tässä on mitä sinun on tiedettävä.

On yhä ilmeisempää, että GitHubin uudelleenpojaaminen muodostaa oikeutetun riskin kehittäjille. Hakkerit voivat hyödyntää käyttäjiä ja yrityksiä vaihtamalla GitHub-nimiä kaappaamalla vanhan arkiston nimet siinä toivossa, että niiden lisäämät haitalliset tiedostot voivat noutaa sovellukset, jotka käyttävät koodia a riippuvuus.

On siis tärkeää, että ryhdyt toimenpiteisiin oman GitHub-projektisi suojaamiseksi, jos olet äskettäin vaihtanut käyttäjänimeäsi tai viittaat muihin tietovarastoihin riippuvuuksina.

Mitä RepoJacking on?

GitHub-repojacking on eräänlainen hyväksikäyttö, joka voi tapahtua sen jälkeen, kun arkiston omistaja vaihtaa käyttäjätunnusta. Vanha käyttäjänimen ja arkiston nimen yhdistelmä tulee saataville, ja repojacker voi hyödyntää sen riippuvuuksia lunastamalla käyttäjätunnuksen ja arkiston luominen samalla nimellä.

Uudelleenpoisto voi aiheuttaa kaksi erilaista riskiä:

  • Repojacking voi tehdä muuten luotettavasta sovelluksesta epäluotettavan. Jos käytät sovellusta, joka käyttää GitHub-tietovarastoa riippuvuutena ja omistaja nimeää arkiston uudelleen, sovelluksen käyttö jättää sinut haavoittuvaiseksi.
  • Repojacking voi vaarantaa kehittämäsi sovelluksen. Jos viittaat GitHub-tietovarastoon riippuvuutena etkä huomaa tai päivitä sitä, kun arkiston nimeäminen tapahtuu uudelleen, sovelluksesi on alttiina repojacking-hyökkäyksille.

Repojacking ei aiheuta valtavaa riskiä käyttäjille, mutta on perusteltua syytä uskoa, että se voisi toimia vakavan toimitusketjuhyökkäyksen mekanismina. Jos sovelluksella on riippuvuus, joka viittaa repojack-tietovarastoon, se pyytää ja vastaanottaa koodia, joka saattaa sisältää haittaohjelmia.

Jos kehität GitHubissa, tietäen, miten voit minimoi toimitusketjuhyökkäysten riski ja repojacking – sekä kaapatun tietovaraston että riippuvuuksien kanssa riippuvaisena kolmannen osapuolena – on elintärkeää.

RepoJacking-riskin minimoiminen

Repojacking-hyökkäykset perustuvat erittäin ennustettavaan mekanismiin: kaappaajat ottavat haltuunsa lunastamattoman arkiston ja hyödyntävät sitten kaikkia sovelluksia, jotka viittaavat siihen riippuvuutena. Onneksi tämä tekee repockingista helposti vastustettavissa.

Luo yksityisiä arkiston klooneja

Arkiston kloonaus on erinomainen tapa minimoida projektisi riippuvuuksiin liittyvät riskit, koska sinulla on täydellinen hallinta yksityiseen kopioosi. Voit luoda yksityisen kopion julkisesta arkistosta paljaalla kloonauksella ja peilillä työntämällä sitä dokumentoidulla GitHub.

Seuraa projektisi riippuvuuksia huolellisesti

Jos päätät, että haluat välttää ongelmat ja viitata julkisiin tietovarastoihin, sinun tulee varmistaa, että auditoit projektisi riippuvuudet usein. Riippuvuutesi tilan tarkistaminen muutaman kerran vuodessa kestää enintään tunnin – ja se säästää paljon stressiä.

Harkitse tilisi uudelleennimeämistä

Ihannetapauksessa käyttäjätunnuksen pitäminen ajan tasalla ei olisi syytä huoleen. Uudelleenpoikimisen riskin vuoksi sinun tulee kuitenkin harkita vanhentuneen nimesi säilyttämistä. Jos sinun on vaihdettava käyttäjätunnusta, sinun tulee lunastaa ja varata vanha nimi rekisteröimällä toinen tili.

Käytä ulkoisia resursseja viisaasti

Riippuvuudet muodostavat luontaisen riskin, koska ne luovat kolmannen osapuolen tukipisteitä sovellukseesi. Vaikka ne ovat yleensä säästämän ajan arvoisia, projektisi riippuvuuksien säännöllinen tarkastaminen on ratkaisevan tärkeää. Sinun tulee myös ryhtyä muihin turvatoimiin, kuten SSH-todennusta, estääksesi hyväksikäytöt.