新思科技发现近几个月,依赖仓库劫持漏洞(简称为Repo Jacking)持续增加,对开源仓库的威胁也越来越普遍。依赖仓库劫持攻击一旦得逞,可能会对包或产品的用户产生严重的安全隐患,尤其是在受影响的包被用作依赖项的情况下。这通常是由于攻击的性质导致的——允许不受限制的恶意代码上传,重新发布现有版本或发布新版本。
Repo Jacking:依赖仓库劫持漏洞
Repo Jacking是恶意攻击者对托管仓库的所有者或维护者账户的故意、强制接管。访问该账户后,攻击者可以将恶意代码注入项目或将其用作依赖项的项目。
这种类型的供应链攻击往往通过利用GitHub 等托管平台缺乏重新注册验证的漏洞。攻击方式主要有两种:
在这两种情况下,攻击者都有效地获得了对仓库的完全控制权,从而允许他们执行各种特权操作。这些可能涉及指定其他恶意用户或自行创建的账户作为管理员/维护者,进而用于批准对仓库的推送和拉取请求。通过这种方式,可以将恶意或不需要的代码强制注入到项目的新版本中。相反地,可以从仓库中删除版本和功能代码,或故意推送中断提交,从而允许阻碍或破坏预先存在的功能。
保护企业免受Repo Jacking的方法
随着供应链攻击的增加,Repo Jacking的案例也在增加,因为它通常是供应链攻击的第一步。接管仓库可能是一个简单的过程,但仍会导致严重的负面影响。目前有一些可用的补救措施正在研究中,以应对此类攻击。
多因素身份验证(MFA),通常为双因素身份验证(2FA),为账户访问提供第二层安全性。从理论上讲,它应该可以防止不法分子获得对过期或已删除账户的访问权限。 GitHub是最大的Git仓库的托管主机之一。GitHub宣布从 2023 年起,所有维护者账户都将强制执行2FA。这代表着2FA的采用率将大幅上升,因为目前只有16.5%的活跃 GitHub 用户使用 2FA。另一方面,流行的 JavaScript 包管理器 npm 并没有强制执行,也没有宣布打算强制执行 2FA。
域名接管是供应链劫持仓库的常见手法,例如当不法分子重新注册电子邮件的过期域并使用该域请求重置密码。仓库托管平台可以先发制人,尝试通过删除或暂停有即将到期和已过期域的账户,以防止这种情况发生。切断供应链中的链接是阻止访问可能受到损害的账户的重要一步。但是,这将对托管平台产生更大的维护和监控责任。
在接下来的几个月甚至几年里,开源项目将继续扩大和账户数量也在增加,依赖项更多并且容易受到劫持。同时,更多所有者和作者账户将变得不活跃并被删除,不法分子更加有机可乘,劫持仓库。
尽管可以通过补救措施来防止其中许多漏洞,但当前的行业格局表明,选择使用 MFA 等预防性技术的用户数量有限。强制执行2FA等方法可能是未来的发展方向。
凭借增强型漏洞数据防患未然
Black Duck Security Advisories (BDSA)为用户提供有关漏洞披露的详细信息,自动生成的警报概述了易受攻击的代码和已使用软件包中的补救措施。客户可以使用 BDSA 快速修复新漏洞并了解包中的恶意开发,例如 Repo Jacking。BDSA会详述被劫持的软件包易受攻击的版本、关键信息和新的开发,例如分叉的仓库。
很多解决方案单单依赖美国国家漏洞数据库(NVD)的数据。但是,许多漏洞和受影响的开源项目从未在NVD中记录过,并且漏洞通常都是在发布几周之后才被列入NVD。BDSA借助由 新思科技网络安全研究中心 (CyRC)分析的增强型数据,保证完整性和准确性,并且可当日告知新报告的安全漏洞,平均比 NVD 提早了三周。这可以为用户尽早发出漏洞提醒并提供全面的见解,大幅降低供应链安全风险。
好文章,需要你的鼓励
2025施耐德电气智算峰会上,全新EcoStruxure(TM) Energy Operation电力综合运营系统正式亮相,定位场站级智慧能源管理中枢,集技术领先性与本土适配性于一体。
这项研究首次系统评估了AI代码智能体在科学研究扩展方面的能力。研究团队设计了包含12个真实研究任务的REXBENCH基准,测试了九个先进AI智能体的表现。结果显示,即使最优秀的智能体成功率也仅为25%,远低于实用化要求,揭示了当前AI在处理复杂科学推理任务时的显著局限性。
Atlassian、Intuit和AWS三大企业巨头正在为智能代理时代做准备,重新思考软件构建方式。当前企业API为人类使用而设计,未来API将成为多模型原生接口。Intuit在QuickBooks中应用自动发票生成,使企业平均提前5天收款;AWS通过AI辅助迁移服务显著提升效率;Atlassian推出内部员工入职代理和客户代理,节省大量时间成本。专家强调需要建立强大的数据架构和信任机制。
俄罗斯莫斯科国立大学研究团队开发出MEMFOF光流估计新方法,在保持顶尖精度的同时将1080p视频分析的GPU内存消耗从8GB降至2GB,实现约4倍内存节省。该方法通过三帧策略、相关性体积优化和高分辨率训练在多个国际基准测试中取得第一名成绩,为高清视频分析技术的普及奠定基础。