Cyberthreat.id – Sebuah studi bari mengungkapkan, jutaan repositori perangkat lunak di GitHub kemungkinan rentan terhadap serangan yang disebut RepoJacking.

“Ini termasuk repositori dari organisasi seperti Google, Lyft, dan beberapa lainnya,” kata perusahaan keamanan asli cloud yang berbasis di Massachusetts, Aqua, dalam laporan hari Rabu, sebagaimana dikutip The Hacker News.

Kerentanan rantai pasokan, juga dikenal sebagai pembajakan repositori ketergantungan, adalah kelas serangan yang memungkinkan untuk mengambil alih organisasi atau nama pengguna yang sudah pensiun dan menerbitkan versi trojan dari repositori untuk menjalankan kode berbahaya.

"Ketika pemilik repositori mengubah nama pengguna mereka, tautan dibuat antara nama lama dan nama baru untuk siapa saja yang mengunduh dependensi dari repositori lama," kata peneliti Ilay Goldman dan Yakir Kadkoda. "Namun, siapa saja bisa membuat nama pengguna lama dan merusak tautan ini."

Alternatifnya, skenario serupa dapat muncul ketika kepemilikan repositori dialihkan ke pengguna lain dan akun asli dihapus, sehingga memungkinkan aktor jahat membuat akun dengan nama pengguna lama.

Aqua mengatakan pelaku ancaman dapat memanfaatkan situs web seperti GHTorrent untuk mengekstrak metadata GitHub yang terkait dengan komitmen publik dan menarik permintaan untuk menyusun daftar repositori unik.

Analisis subset dari 1,25 juta repositori untuk bulan Juni 2019 mengungkapkan bahwa sebanyak 36.983 repositori rentan terhadap RepoJacking, menunjukkan tingkat keberhasilan 2,95%.

Dengan GitHub yang berisi lebih dari 330 juta repositori, temuan menunjukkan bahwa jutaan repositori dapat rentan terhadap serangan serupa.

Salah satu repositori tersebut adalah google/mathsteps, yang sebelumnya dimiliki oleh Socrates (socraticorg/mathsteps), sebuah perusahaan yang diakuisisi oleh Google pada tahun 2018.

"Saat Anda mengakses https://github.com/socraticorg/mathsteps, Anda dialihkan ke https://github.com/google/mathsteps sehingga pada akhirnya pengguna akan mengambil repositori Google," kata para peneliti.

"Namun, karena organisasi socraticorg tersedia, penyerang dapat membuka repositori socraticorg/mathsteps dan pengguna yang mengikuti instruksi Google akan mengkloning repositori penyerang sebagai gantinya. Dan karena instalasi npm ini akan menyebabkan eksekusi kode arbitrer pada pengguna."

Ini bukan pertama kalinya kekhawatiran seperti itu diajukan. Pada Oktober 2022, GitHub bergerak untuk menutup celah keamanan yang dapat dieksploitasi untuk membuat repositori berbahaya dan meningkatkan serangan rantai pasokan dengan menghindari penghentian namespace repositori populer.

Untuk mengurangi risiko tersebut, disarankan agar pengguna secara berkala memeriksa kode mereka untuk tautan yang mungkin mengambil sumber daya dari repositori GitHub eksternal.

"Jika Anda mengubah nama organisasi Anda, pastikan Anda masih memiliki nama sebelumnya, bahkan sebagai pengganti, untuk mencegah penyerang membuatnya," kata para peneliti.[]