Milioni di repository GitHub sono potenzialmente vulnerabili al RepoJacking. Una nuova ricerca di Aqua Nautilus fa luce sulla portata del RepoJacking, che se sfruttato può portare all’esecuzione di codice negli ambienti interni delle organizzazioni o in quelli dei loro clienti. Nell’ambito della nostra ricerca, abbiamo trovato un’enorme fonte di dati che ci ha permesso di campionare un set di dati e trovare alcuni obiettivi molto popolari.

Tra i repository trovati vulnerabili a questo attacco abbiamo scoperto organizzazioni come Google, Lyft e altre che hanno chiesto di rimanere anonime. Tutte sono state informate di questa vulnerabilità e hanno prontamente mitigato i rischi. In questo blog mostreremo come un aggressore può sfruttare questa vulnerabilità su scala e condivideremo il PoC che abbiamo eseguito su repository popolari.

A differenza di studi passati, la nostra ricerca sottolinea le implicazioni per la sicurezza e la gravità di questo database se sfruttato dagli aggressori. Molti dei quali possono trovare al suo interno numerosi obiettivi di alta qualità suscettibili di RepoJacking. In questo blog approfondiamo gli scenari di sfruttamento di questo attacco e forniamo illustrazioni di ogni scenario utilizzando esempi reali.