Уязвимость GitHub позволяла угнать чужой репозиторий в обход защиты

Уязвимость GitHub позволяла угнать чужой репозиторий в обход защиты

Уязвимость GitHub позволяла угнать чужой репозиторий в обход защиты

Команда Checkmarx обнаружила брешь в защите облачного хостинга GitHub от клонирования репозиториев в рамках атак на цепочку поставок. Как оказалось, создать такой источник вредоносного кода все еще можно, притом легко — путем переименования.

Хранилища на GitHub получают уникальные URL, которые привязываются к аккаунту владельца. Когда пользователь меняет имя аккаунта, на веб-сервисе создаются редиректоры. В Checkmarx придумали, как угнать перенаправленный трафик, сломав логику редиректа, и назвали свой способ RepoJacking.

В итоге на GitHub появился дополнительный механизм защиты, отвечающий за удаление популярных, но устаревших пространств имен (связок имя пользователя / имя репозитория) — чтобы ими не воспользовались злоумышленники. Эта контрмера пускается в ход, когда недельная норма клонов opensource-проекта перевалит за сотню.

Как выяснилось, такую защиту от абьюзов можно обойти с помощью процедуры смены владельца репозитория. Захват чужих имен при этом выглядит следующим образом:

  • злоумышленник создает репозиторий с именем (условно repo), выведенным из обихода, но под другим аккаунтом, разрывая связку (например, вместо прежнего юзернейма victim использует helper);
  • helper_account передает репозиторий repo новому владельцу (attacker) в соответствии с принятым регламентом;
  • тот переименовывает свой аккаунт в victim;
  • новоявленный victim_account принимает запрос на передачу права собственности.

В итоге пространство имен victim/repo попадает под контроль авторов атаки — из-за того, что специализированная защита GitHub считает устаревшей только комбинацию юзернейм / имя репозитория. По словам Checkmarx, подобным образом можно угнать любой популярный софт, если его владелец менял имя пользователя.

Просмотр каталогов Go, Swift и Packagist выявил более 10 тыс. пакетов, находящихся в зоне риска. Оператор GitHub устранил опасную уязвимость в прошлом месяце — 19 сентября.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Solar AURA запустила сервис защиты брендов с юридическим сопровождением

Центр мониторинга внешних цифровых угроз Solar AURA (входит в группу компаний «Солар») представил новую услугу по защите брендов. Она объединяет мониторинг цифровых угроз и юридическую поддержку — компании смогут не только отслеживать нелегальное использование своих товарных знаков, текстов и программ, но и добиваться удаления таких материалов в правовом поле.

По данным Solar AURA, за первое полугодие 2025 года число фишинговых сайтов, имитирующих российские бренды, выросло в 1,5 раза по сравнению с прошлым годом.

Однако, отмечают в компании, угрозы не ограничиваются фишингом: всё чаще встречаются случаи незаконного использования товарных знаков, продажи контрафакта и кражи исходного кода или наработок бывшими сотрудниками.

Новая услуга, по сути, объединяет ИБ-инструменты и юридическую экспертизу. Специалисты проводят так называемый «юридический пентест» — анализируют, насколько компания защищена от утечек интеллектуальной собственности, правильно ли оформлены права на программное обеспечение и другие продукты. Также они помогают выявить нарушителей, оценить ущерб и подготовить доказательную базу для досудебных или судебных разбирательств.

Сервис предусматривает защиту не только от кражи контента и бренда, но и от репутационных рисков — например, публикаций с ложными сведениями или некорректных сравнений с конкурентами.

Услуга доступна по подписке и делится на три уровня — «Стандарт», «Классик» и «Премиум», которые отличаются количеством защищаемых товарных знаков и объёмом правовой поддержки: от подготовки досудебных претензий до сопровождения судебных дел.

По словам Романа Долгого, руководителя направления специальных сервисов Solar JSOC, защита бренда сегодня — это не только борьба с фишинговыми копиями сайтов, но и противодействие контрафакту, защита интеллектуальной собственности и репутации компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru