Уязвимость GitHub позволяла угнать чужой репозиторий в обход защиты

Уязвимость GitHub позволяла угнать чужой репозиторий в обход защиты

Уязвимость GitHub позволяла угнать чужой репозиторий в обход защиты

Команда Checkmarx обнаружила брешь в защите облачного хостинга GitHub от клонирования репозиториев в рамках атак на цепочку поставок. Как оказалось, создать такой источник вредоносного кода все еще можно, притом легко — путем переименования.

Хранилища на GitHub получают уникальные URL, которые привязываются к аккаунту владельца. Когда пользователь меняет имя аккаунта, на веб-сервисе создаются редиректоры. В Checkmarx придумали, как угнать перенаправленный трафик, сломав логику редиректа, и назвали свой способ RepoJacking.

В итоге на GitHub появился дополнительный механизм защиты, отвечающий за удаление популярных, но устаревших пространств имен (связок имя пользователя / имя репозитория) — чтобы ими не воспользовались злоумышленники. Эта контрмера пускается в ход, когда недельная норма клонов opensource-проекта перевалит за сотню.

Как выяснилось, такую защиту от абьюзов можно обойти с помощью процедуры смены владельца репозитория. Захват чужих имен при этом выглядит следующим образом:

  • злоумышленник создает репозиторий с именем (условно repo), выведенным из обихода, но под другим аккаунтом, разрывая связку (например, вместо прежнего юзернейма victim использует helper);
  • helper_account передает репозиторий repo новому владельцу (attacker) в соответствии с принятым регламентом;
  • тот переименовывает свой аккаунт в victim;
  • новоявленный victim_account принимает запрос на передачу права собственности.

В итоге пространство имен victim/repo попадает под контроль авторов атаки — из-за того, что специализированная защита GitHub считает устаревшей только комбинацию юзернейм / имя репозитория. По словам Checkmarx, подобным образом можно угнать любой популярный софт, если его владелец менял имя пользователя.

Просмотр каталогов Go, Swift и Packagist выявил более 10 тыс. пакетов, находящихся в зоне риска. Оператор GitHub устранил опасную уязвимость в прошлом месяце — 19 сентября.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

МВД сообщило о пяти мошеннических схемах на тему доставки еды

МВД России выявило пять мошеннических схем, связанных с темой доставки еды. Из них полностью офлайновой является только одна — связанная с подменой заказов или доставкой «пустышек». Три из пяти схем основаны на различных вариантах фишинга.

О схемах, эксплуатирующих тему доставки, сообщило ТАСС со ссылкой на материалы МВД. Первая и наиболее распространённая схема — создание поддельных сайтов и приложений, внешне полностью копирующих легитимные сервисы доставки.

Мошенники таким образом получают доступ к платёжным данным, которые пользователи вводят в формах оплаты на этих клонах.

Вторая схема связана с рассылкой поддельных ссылок для отслеживания заказов. Такие сообщения распространяются через СМС или мессенджеры и также ведут на страницы, где от пользователя требуют ввести данные банковской карты.

Третья фишинговая схема — фальшивые скидки и бонусы. Мошенники предлагают якобы выгодные акции, чтобы привлечь пользователей на вредоносные сайты и похитить их данные.

По данным исследования компании F6, в 2025 году розничная торговля, включая доставку продуктов и готовой еды, заняла первое место среди всех отраслей по объёму фишинговых атак. На неё пришлось около половины всех случаев фишинга и треть мошеннических схем (скама).

Существуют и схемы, не связанные с фишингом. В одном из вариантов злоумышленники сообщают клиенту о несуществующей ошибке при оплате заказа и предлагают вернуть деньги. Под этим предлогом они запрашивают данные банковской карты или коды из СМС.

Единственная полностью офлайновая схема — подмена заказов. В этом случае клиент получает не те блюда, что заказывал, или вовсе «пустую» доставку. Обычно такие действия совершают не реальные курьеры, а злоумышленники, выдающие себя за сотрудников служб доставки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru