🐈⬛ Уязвимость GitHub позволяла заразить чужой репозиторий
Команда Checkmarx SCS обнаружила уязвимость в GitHub, которая может позволить злоумышленнику клонировать чужой репозиторий GitHub и потенциально заразить вредоносным кодом приложение.
Дело в том, что репозитории на GitHub получают уникальные URL-адреса, привязанные к учетной записи владельца. Когда пользователь меняет имя учетной записи, на сервисе создаются специальные перенаправления. Компания Checkmarx придумала, как получить контроль над перенаправляемым трафиком, и назвала свой метод RepoJacking. Этой уязвимости были подвержены все переименованные пользователи GitHub, включая более 10000 пакетов в пакетных менеджерах Go, Swift и Packagist.
Уязвимость была устранена платформой в прошлом месяце. В результате на GitHub появился дополнительный механизм защиты, который отвечает за удаление популярных, но устаревших пространств имен (сопоставлений имен пользователей и репозиториев), чтобы они не использовались злоумышленниками. Этот механизм срабатывает, когда еженедельное количество клонов проекта с открытым исходным кодом превышает сотню.
🗞 Блог Кодебай
#news #github #vulnerability
Команда Checkmarx SCS обнаружила уязвимость в GitHub, которая может позволить злоумышленнику клонировать чужой репозиторий GitHub и потенциально заразить вредоносным кодом приложение.
Дело в том, что репозитории на GitHub получают уникальные URL-адреса, привязанные к учетной записи владельца. Когда пользователь меняет имя учетной записи, на сервисе создаются специальные перенаправления. Компания Checkmarx придумала, как получить контроль над перенаправляемым трафиком, и назвала свой метод RepoJacking. Этой уязвимости были подвержены все переименованные пользователи GitHub, включая более 10000 пакетов в пакетных менеджерах Go, Swift и Packagist.
Уязвимость была устранена платформой в прошлом месяце. В результате на GitHub появился дополнительный механизм защиты, который отвечает за удаление популярных, но устаревших пространств имен (сопоставлений имен пользователей и репозиториев), чтобы они не использовались злоумышленниками. Этот механизм срабатывает, когда еженедельное количество клонов проекта с открытым исходным кодом превышает сотню.
🗞 Блог Кодебай
#news #github #vulnerability
👍10🔥2🤯1
📦 Украдено 130 репозиториев кода Dropbox в результате фишинговой атаки
В Dropbox произошла утечка данных, в результате которой злоумышленники получили доступ к коду из 130 закрытых репозиториев компании, размещенных на GitHub.
Скомпрометированные репозитории содержат копии сторонних библиотек, слегка измененных для использования в Dropbox, внутренние шаблоны, а также некоторые инструменты и файлы конфигурации, используемые командой безопасности. Код основных приложений или инфраструктуры Dropbox в затронутых репозиториях не содержится.
"Наши команды безопасности предприняли немедленные действия, чтобы скоординировать смену всех открытых учетных данных разработчиков и определить, какие данные клиентов - если таковые были - были доступны или украдены", - сообщают в Dropbox.
Злоумышленники получили доступ к системе с помощью фишинговой атаки, выдавая себя за CircleCI - компанию, которая разрабатывает платформу непрерывной интеграции и непрерывной доставки (CI/CD). Поскольку пользователи используют свои учетные данные GitHub для входа в CircleCI, компрометация этих учетных данных означает компрометацию аккаунта GitHub.
🗞 Блог Кодебай
#news #github #dropbox
В Dropbox произошла утечка данных, в результате которой злоумышленники получили доступ к коду из 130 закрытых репозиториев компании, размещенных на GitHub.
Скомпрометированные репозитории содержат копии сторонних библиотек, слегка измененных для использования в Dropbox, внутренние шаблоны, а также некоторые инструменты и файлы конфигурации, используемые командой безопасности. Код основных приложений или инфраструктуры Dropbox в затронутых репозиториях не содержится.
"Наши команды безопасности предприняли немедленные действия, чтобы скоординировать смену всех открытых учетных данных разработчиков и определить, какие данные клиентов - если таковые были - были доступны или украдены", - сообщают в Dropbox.
Злоумышленники получили доступ к системе с помощью фишинговой атаки, выдавая себя за CircleCI - компанию, которая разрабатывает платформу непрерывной интеграции и непрерывной доставки (CI/CD). Поскольку пользователи используют свои учетные данные GitHub для входа в CircleCI, компрометация этих учетных данных означает компрометацию аккаунта GitHub.
🗞 Блог Кодебай
#news #github #dropbox
👍9🔥3🤯3❤🔥1
Блуждаем по просторам GitHub: Дыры, скрипты, QR-коды и чертовщина
Не будем мы с вами открывать Америку и вновь: пойдёт дело о вещах общедоступных,но опасных в меру, о небольшой халатности и мошенничестве, что ставит под угрозу вашу приватность и безопасность. Сегодня предлагаю я вам достаточно увлекательный тур по просторам GitHub'a.
📌 Читать далее
#github #software
Не будем мы с вами открывать Америку и вновь: пойдёт дело о вещах общедоступных,но опасных в меру, о небольшой халатности и мошенничестве, что ставит под угрозу вашу приватность и безопасность. Сегодня предлагаю я вам достаточно увлекательный тур по просторам GitHub'a.
📌 Читать далее
#github #software
👍11❤🔥2🔥2
Всякая всячина на дороге: путь Вадимки к совершенству - альтернативные познания открытого
И приветствую, друзья дорогие, Вас. Проснувшись, Вадимка отметил абсолютное отсутствие желания дочитывать прошлую статью до конца. Пусть она и была изрядно увлекательной и интересной - желания не достаёт напрочь. Странная боль в голове покоя не давала никак, кофе, кофе, кофе и еще раз кофе. Странный шум в доме, ведать сестры опять ведут ожесточенную битву за ванную комнату, вроде как Карин выиграла её, лишь одну с бесконечного множества цикла войны. Не обращая внимания на все окружающие раздражители, Вадимка, уединившись в комнатке, увлекается чтением очередной статьи, того же автора - DeathDay, но на иную тематику: Изборник разнообразной всякой всячины: неисповедимые пути ссылок. Справившись с очередной писаниной писателя сего, наш драгоценный Вадимчик решается повторить изложенное, дабы закрепить всё на практике.
📌 Читать далее
#github #history
И приветствую, друзья дорогие, Вас. Проснувшись, Вадимка отметил абсолютное отсутствие желания дочитывать прошлую статью до конца. Пусть она и была изрядно увлекательной и интересной - желания не достаёт напрочь. Странная боль в голове покоя не давала никак, кофе, кофе, кофе и еще раз кофе. Странный шум в доме, ведать сестры опять ведут ожесточенную битву за ванную комнату, вроде как Карин выиграла её, лишь одну с бесконечного множества цикла войны. Не обращая внимания на все окружающие раздражители, Вадимка, уединившись в комнатке, увлекается чтением очередной статьи, того же автора - DeathDay, но на иную тематику: Изборник разнообразной всякой всячины: неисповедимые пути ссылок. Справившись с очередной писаниной писателя сего, наш драгоценный Вадимчик решается повторить изложенное, дабы закрепить всё на практике.
📌 Читать далее
#github #history
👍9🔥3
Блуждаем по просторам GitHub: Дыры, скрипты, QR-коды и чертовщина
Не будем мы с вами открывать Америку и вновь: пойдёт дело о вещах общедоступных,но опасных в меру, о небольшой халатности и мошенничестве, что ставит под угрозу вашу приватность и безопасность. Сегодня предлагаю я вам достаточно увлекательный тур по просторам GitHub'a.
📌 Читать далее
#github #software
Не будем мы с вами открывать Америку и вновь: пойдёт дело о вещах общедоступных,но опасных в меру, о небольшой халатности и мошенничестве, что ставит под угрозу вашу приватность и безопасность. Сегодня предлагаю я вам достаточно увлекательный тур по просторам GitHub'a.
📌 Читать далее
#github #software
👍9🔥2❤1