RepoJacking
GitHub adattárak milliói lehetnek kitéve a RepoJacking-nek. Az Aqua Nautilus új kutatása ismerteti azt a támadási módszert, amely során egy rosszindulatú szereplő regisztrál egy felhasználónevet, és létrehoz egy repositori-t, amelyet egy szervezet korábban használt, de azóta megváltoztatta a felhasználónevét. A fejlesztő azt gondolhatja, hogy a repo biztonságos, de valójában a támadó irányítja.
Az Aqua Nautilus a GHTorrent weboldalon talált adatmintából indult ki. A kutatók letöltötték az összes naplót egy véletlenszerű hónapból (2019 júniusa), és összeállítottak egy listát, amely 125 millió egyedi repo címből áll. Ezután mintát vettek 1%-ból – 1,25 millió repónévből –, és ellenőrizték, hogy ki van-e téve a RepoJacking-nek. 6 983 adattár volt sebezhető a RepoJacking-el szemben: ez 2,95%-os arány. A mintán talált eredményt a teljes GitHub adattárra számítva potenciálisan több millió sebezhető adattár lehet – több mint 300 millió – állítják a kutatók.
Az Aqua Nautilus ezután elkészített egy proof-of-concept (PoC) programot, amely bemutatja, hogyan működik a RepoJacking. Futtatták a PoC-t több olyan tárolón, amelyek népszerű szervezetekhez tartoznak, és alapvető metaadatokat gyűjtöttek össze.