当用户更改其用户名或组织名称时,GitHub 会创建一个重定向路由,允许从其旧 URL 访问仓库。更改用户名或组织名称后,旧的名称变得可以被认领。这意味着攻击者可以认领被废弃的用户名或组织名称并破坏重定向。因此,如果有人使用旧 URL,他们将处理攻击者的仓库。
这也适用于已转移的仓库。
新型供应链攻击可能危及流行的管理工具arrow-up-right
报告:依赖仓库劫持,也称为来自 GitHub 仓库 rubygems/bundler-site & rubygems/bundler.github.io + bundler.io 文档的 Repo Jackingarrow-up-right
最后更新于4个月前