HackerNews 编译，转载请注明出处： 一个名为 Windows-WiFi-Password-Stealer 的 GitHub 仓库引发了网络安全专业人士的关注。 该仓库由用户托管，提供了一个基于 Python 的脚本，能够从 Windows 系统中提取保存的 Wi-Fi 凭证，并将其保存到文本文件中。 尽管该仓库声称用于教育目的，但其潜在的恶意使用风险不容忽视。 恶意软件详情 根据 X 上的一篇网络地下帖子，该仓库包含以下关键文件： Password Stealer.py：执行凭证提取过程的主脚本。 requirements.txt：运行脚本所需的 Python 依赖项列表。 README.md：包含安装和使用说明的文档。 该工具执行 netsh wlan show profile，这是一个合法的网络 shell 命令，用于获取与系统关联的服务集标识符（SSID）列表。 对于每个 SSID，该工具随后运行 netsh wlan export profile，生成包含配置详细信息的 XML 文件，包括明文的预共享密钥（PSK）。 这些 XML 文件暂时存储在系统的当前工作目录中，由 Python 脚本解析以提取密码，随后被删除以规避检测。 该方法利用了 Windows 对 Wi-Fi 凭证的原生处理方式，这些凭证以加密形式存储在凭据管理器中。 该工具的简单性和开源性质降低了恶意使用的门槛。用 Python 编写，依赖项极少，可使用 PyInstaller 转换为独立可执行文件。 要使用该工具，用户需安装依赖项： pip install -r requirements.txt 此外，README 提供了使用 PyInstaller 将脚本转换为可执行文件的说明：   pyinstaller –onefile PasswordStealer.py 这一功能简化了部署，使非技术用户也能轻松使用，增加了其被恶意利用的可能性。GitHub 仓库提供了清晰的编译说明，即使是新手用户也能生成针对特定攻击场景的有效载荷。 此类工具在 GitHub 等平台上的公开可用性带来了显著风险。恶意行为者可以轻松地将代码重新用于凭证收集，从而实现未经授权的网络访问或在受攻陷环境中进行横向移动。 组织应强制实施多因素认证用于 Wi-Fi 访问，并定期轮换 PSK，以减少凭证泄露的影响。 尽管该工具本身并非固有恶意，但其滥用突显了操作系统处理敏感凭证方式的关键漏洞。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，针对 Go 生态系统的软件供应链攻击中出现了一种恶意包，该包能够使攻击者远程访问受感染系统。 据 Socket 称，该包名为 github.com/boltdb-go/bolt，是对合法 BoltDB 数据库模块（github.com/boltdb/bolt）的拼写混淆。恶意版本（1.3.1）于 2021 年 11 月发布到 GitHub，随后被 Go 模块镜像服务无限期缓存。 安全研究人员基里尔・博伊琴科（Kirill Boychenko）在分析中表示：“一旦安装，该后门包将授予威胁行为者对受感染系统的远程访问权限，使其能够执行任意命令。” Socket 表示，这一事件标志着恶意行为者最早利用 Go 模块镜像对模块的无限期缓存来欺骗用户下载该包的案例之一。随后，攻击者修改了源代码仓库中的 Git 标签，将其重定向到良性版本。 这种欺骗手段确保了手动审核 GitHub 代码仓库时不会发现任何恶意内容，而缓存机制则意味着不知情的开发人员使用 go CLI 安装该包时，仍会下载后门版本。 博伊琴科说：“一旦模块版本被缓存，即使原始源代码后来被修改，它仍然可以通过 Go 模块代理访问。虽然这种设计对合法使用场景有益，但威胁行为者利用它在后续对代码仓库的修改后，仍能持续分发恶意代码。” “由于不可变模块既提供安全优势，也存在潜在的滥用途径，开发人员和安全团队应警惕利用缓存模块版本来逃避检测的攻击。” 与此同时，Cycode 详细披露了三个恶意 npm 包——serve-static-corell、openssl-node 和 next-refresh-token，这些包包含隐藏代码，用于收集系统元数据并在受感染主机上运行由远程服务器（“8.152.163[.]60”）发出的任意命令。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GitHub正遭遇虚假“星标”泛滥的问题，这些虚假星标被恶意用于提升软件病毒传播仓库的曝光度，诱使更多无辜用户上钩。 星标功能类似于社交媒体上的“点赞”，让用户能够为自己感兴趣的仓库标记。GitHub则将这些星标作为全球排名系统的参考指标之一，并据此向用户推荐相关内容。 GitHub说明：“用户可通过为仓库或主题加注星标，来发掘平台上的相似项目。一旦加星标，GitHub可能会在个人仪表板上推荐相关内容。” 去年夏季，Check Point揭露了一个名为“Stargazers Ghost Network”的恶意软件传播网络，该网络通过大量虚假账户为虚假项目加星标，以推广信息窃取恶意软件，揭示了这一问题的存在已久。 不仅恶意项目，部分非恶意项目也采用虚假星标手段提升人气、扩大影响，吸引真实用户关注与采用，此举不仅加剧了问题，还损害了平台信誉。 近期，Socket联合卡内基梅隆大学及北卡罗来纳州立大学的研究人员发布的一项新研究显示，GitHub上约有450万个星标疑似虚假。 追踪虚假星标 研究团队开发了一款名为“StarScout”的工具，用于分析来自“GHArchive”的20TB数据，寻找虚假星标的迹象。GHArchive记录了2019年7月至2024年10月期间超过60亿个GitHub事件的元数据，包括3.1亿个仓库的6,050万用户操作和6.1亿个星标。 StarScout通过检测用户的活动特征来识别可疑星标行为，比如仅为单个仓库加星标的用户、显示出机器人或临时账户活动模式的用户，以及在短时间内对相同仓库加星标的账户群体。该方法基于CopyCatch算法，这是一种专为发现社交网络中欺诈模式设计的算法。 通过将低活动量和同步模式算法应用于数据分析，研究团队识别出了4,530,000个疑似虚假星标，这些星标来自1,320,000个账户，分布在22,915个仓库中。 为了提高结果的准确性，研究人员筛除了潜在的误报，仅保留了那些在单个月份内出现显著异常星标激增且虚假星标比例超过10%的仓库。这一筛选过程将结果缩减为310万个虚假星标，涉及278,000个账户和15,835个仓库。 到2024年10月，约91%的相关仓库和62%的虚假账户已被删除，这进一步证明了StarScout工具的有效性。此外，2024年虚假星标活动显著增加，特别是在7月期间，超过50个星标的仓库中约有15.8%参与了这些恶意活动。 研究团队在2024年7月报告了StarScout识别的虚假仓库和账户，GitHub已将其全部删除。目前，他们仍在评估并报告2024年11月发现的其他虚假星标群体。 虚假星标对GitHub及其用户的影响多方面显现，但总体而言，这一问题正在侵蚀平台的信任基础及其托管的各种软件项目的可靠性。 用户在下载软件前应谨慎对待星标数量，深入评估仓库的活动和质量，仔细阅读文档、检查内容和贡献，并在可能的情况下审查代码。 欺诈性GitHub仓库的存在十分普遍，甚至被国家支持的行动所利用。因此，在下载软件时必须提高警惕。 BleepingComputer已联系GitHub以了解其应对虚假星标问题的具体措施，目前尚未收到回应。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，有研究人员称机器人平台 Top.gg Discord 受到了来自黑客的供应链攻击， 并在开发人员感染恶意软件后窃取平台的敏感信息。据悉，该平台拥有超 17 万名成员，是一个针对 Discord 服务器、机器人和其他社交工具的流行搜索和发现平台，主要面向游戏、提高参与度和改进功能。 多年来，黑客一直尝试各种攻击战术，包括劫持 GitHub 账户、分发恶意 Python 软件包、使用伪造的 Python 基础架构和社交工程等等。 Checkmarx 指出黑客对该平台频繁发起攻击的主要目的很可能是窃取数据并通过出售窃取的信息实现盈利。 劫持 top.gg 维护者账户 根据研究人员的调查，黑客的攻击活动最早被发现于 2022 年 11 月，当时他们在 Python 软件包索引（PyPI）上首次上传了恶意软件包。随后的几年时间里，有越来越多的携带恶意软件的软件包被上传到了 PyPI。 这些软件包类似于流行的开源工具，其包装的十分“诱人”的描述使它们更有可能在搜索引擎结果中排名靠前。最近的一次上传是今年 3 月名为 “yocolor “的软件包。 活动中使用的软件包 2024 年初，攻击者在 “files[.]pypihosted[.]org “建立了一个虚假的 Python 软件包，PyPI 软件包的原型文件就存放在 “files.pythonhosted.org”。 这个虚假软件包被用来托管中毒版本的合法软件包，例如流行的 “colorama “软件包的篡改版本，目的是诱骗用户和开发系统使用这个恶意源。 上传到 PyPI 的恶意软件包是入侵系统的初始载体，一旦用户系统被入侵，或者攻击者劫持了有权限的 GitHub 账户，他们就会修改项目文件以指向虚假软件包托管的依赖项。 Checkmarx 提到，近日攻击者入侵了 top.gg 维护者 “editor-syntax “的账户，该账户在平台的 GitHub 资源库中拥有大量写入访问权限。 Discord 上关于被黑账户的讨论 攻击者使用该账户对 Top.gg 的 python-sdk 版本库进行恶意提交，如添加对中毒版本 “colorama “的依赖，并存储其他恶意版本库，以提高其知名度和可信度。 恶意提交修改 requirements.txt 文件 一旦恶意 Python 代码被执行，它就会启动下一阶段，从远程服务器下载一个小型加载器或滴注脚本，以加密形式获取最终有效载荷。 恶意软件通过修改 Windows 注册表，在重启之间在被入侵机器上建立持久性。 修改注册表以获得持久性 该恶意软件的数据窃取功能可归纳为以下几点： 针对 Opera、Chrome、Brave、Vivaldi、Yandex 和 Edge 中的浏览器数据，以窃取 cookie、自动填充、浏览历史记录、书签、信用卡详细信息和登录凭据。 搜索与 Discord 相关的目录以解密和窃取 Discord 令牌，从而可能获得对帐户的未经授权的访问。 通过搜索 ZIP 格式的钱包文件并将其上传到攻击者的服务器，从各种加密货币钱包中窃取。 试图窃取 Telegram 会话数据以未经授权访问帐户和通信。 包括一个文件窃取程序组件，根据特定关键字针对桌面、下载、文档和最近打开的文件上的文件。 利用被盗的 Instagram 会话令牌通过 Instagram API 检索帐户详细信息。 捕获击键并保存它们，可能会暴露密码和敏感信息。此数据将上传到攻击者的服务器。 利用匿名文件共享服务（例如 GoFile、Anonfiles）和具有唯一标识符（硬件 ID、IP 地址）的 HTTP 请求等方法来跟踪被盗数据并将其上传到攻击者的服务器。 攻击概述 据 Checkmarx 研究人员称，尽管有这些复杂的策略，但一些警惕的 Top.gg 社区成员注意到了恶意活动并报告了它，这导致 Cloudflare 删除了滥用的域名。 虽然受此影响的用户数量目前尚不清楚，但 Checkmarx 的报告强调了开源供应链的风险以及开发人员检查其构建模块安全性的重要性。 研究人员认为，IT 安全专业人员应定期监控和审核新代码项目，企业应定期对开发人员开展供应链攻击风险的教育和意识培训。 除了Discord 机器人平台源代码遭遇黑客“投毒”事件外，最近还出现了其他软件供应链安全问题，比如 3 月早些时候有供应商对以色列大学发起了供应链攻击，以及 JetBrains TeamCity 软件开发平台管理器云版本受到攻击，还有去年 9 月份数百个 GitHub 存储库被黑客入侵。 可见机器学习模型的存储库（如 Hugging Face）为威胁行为者提供了将恶意代码注入开发环境的机会，类似于开源存储库 npm 和 PyPI。   转自Freebuf，原文链接：https://www.freebuf.com/news/395869.html 封面来源于网络，如有侵权请联系删除

近日，GitHub 推出了一项新的 AI 功能，能够有效提升编码时的漏洞修复速度。目前该功能已进入公开测试阶段，并在 GitHub 高级安全（GHAS）客户的所有私有软件源中自动启用。 该功能名为代码扫描自动修复，可利用 Copilot 与 CodeQL（注：CodeQL 是 GitHub 开发的代码分析引擎，用于自动执行安全检查）发现你的代码中可能存在漏洞或错误，并且对其进行分类和确定修复的优先级。可帮助处理 JavaScript、Typescript、Java 和 Python 中超过 90% 的警报类型。 值得一提的是，“代码扫描”需要消耗 GitHub Actions 的分钟数。 据介绍，“代码扫描”还可防止开发者引入新问题，还支持在特定日期和时间进行扫描，或在存储库中发生特定事件（例如推送）时触发扫描。 如果 AI 发现你的代码中可能存在漏洞或错误，GitHub 就会在仓库中进行告警，并在用户修复触发警报的代码之后取消告警。 要监控你的仓库或组织的“代码扫描”结果，你可以使用 web 挂钩和 code scanning API。此外，“代码扫描”也可与输出静态分析结果交换格式 (SARIF) 数据的第三方代码扫描工具互操作。 目前，对“代码扫描”使用 CodeQL 分析有三种主要方法： 使用默认设置在存储库上快速配置对“代码扫描”的 CodeQL 分析。默认设置自动选择要分析的语言、要运行的查询套件和触发扫描的事件，如果需要也可以手动选择要运行的查询套件以及要分析的语言。启用 CodeQL 后，GitHub Actions 将执行工作流运行以扫描代码。 使用高级设置将 CodeQL 工作流添加到存储库。这会生成一个可自定义的工作流文件，该文件使用 github / codeql-action 运行 CodeQL CLI。 直接在外部 CI 系统中运行 CodeQL CLI 并将结果上传到 GitHub。 GitHub 的 Pierre Tempel 和 Eric Tooley 表示：出现漏洞时，修复建议将包括对建议修复的自然语言解释，以及代码建议的预览，开发人员可以接受建议、编辑或驳回。该功能提供的代码建议和解释可以包括对当前文件、多个文件和当前项目依赖关系的修改。采用这种方法可以大大降低安全团队每天必须处理的漏洞频率。 GitHub 承诺，这一 AI 系统可以修复其发现的三分之二以上的漏洞，所以一般来说开发人员无需主动编辑代码。该公司还承诺，代码扫描自动修复将覆盖其支持的语言中超过 90% 的告警类型，目前包括 JavaScript、Typescript、Java 和 Python。该公司计划在未来几个月内增加对其他语言的支持，下一步将支持 C# 和 Go。 不过，还需要注意的是，开发人员应始终核实安全问题是否已得到解决，因为 GitHub 的 AI 功能很可能会建议仅部分解决安全漏洞的修复方法，或无法保留预期的代码功能。 Tempel和Tooley补充道：代码扫描自动修复功能使开发人员在编写代码时更容易修复漏洞，从而帮助企业减缓这种 “应用程序安全债务 “的增长。 上个月，该公司还为所有公共源默认启用了推送保护功能，以防止在推送新代码时意外暴露访问令牌和API密钥等机密。   转自Freebuf，原文链接：https://www.freebuf.com/news/395466.html 封面来源于网络，如有侵权请联系删除

2023 年，GitHub 用户意外暴露了超过 300 万个公共存储库中的 1280 万个身份验证和敏感机密，其中绝大多数在五天后仍然有效。 这是 GitGuardian 网络安全专家的说法，他们向那些泄露秘密的人发出了 180 万封免费电子邮件警报，发现只有极小的 1.8% 的人采取了快速行动来纠正错误。 暴露的秘密包括帐户密码、API 密钥、TLS/SSL 证书、加密密钥、云服务凭证、OAuth 令牌和其他敏感数据，这些数据可能使外部参与者无限制地访问各种私有资源和服务，从而导致数据泄露和财务损失 。 2023 年“泄漏最严重”的国家是印度、美国、巴西、中国、法国、加拿大、越南、印度尼西亚、韩国和德国。 就泄露机密最多的行业而言，IT 以 65.9% 的份额位居榜首，其次是教育，占 20.1%，以及所有其他行业的总和（科学、零售、制造、金融、公共管理、医疗保健、娱乐、交通）占14%。   转自安全客，原文链接：https://www.anquanke.com/post/id/293878 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，GitHub 轮换了 12 月份修补的漏洞可能泄露的密钥，漏洞被追踪为 CVE-2024-0200，不仅允许威胁攻击者在未打补丁的服务器上远程执行代码，还支持威胁攻击者访问生产容器的环境变量（包括凭据）。 近期，GitHub Enterprise Server (GHES) 3.8.13、3.9.8、3.10.5 和 3.11.3 版本已经对 CVE-2024-0200 漏洞进行了修补，GitHub 方面敦促所有客户应尽快安装安全更新，以避免遭受网络安全威胁。 值得一提的是，针对 CVE-2024-0200 漏洞的利用可能稍微有点复杂并，如果想要成功利用漏洞，威胁攻击者需要使用组织所有者角色（具有组织的管理员访问权限）进行身份验证。 Github 副总裁兼副首席安全官 Jacob DePriest 表示，2023 年 12 月 26 日，GitHub 通过 Bug 赏金计划收到一份安全报告，其中显示了一个安全漏洞，如果一旦成功利用该漏洞，便可以轻松访问生产容器中的凭据。事发当天，公司就组织了安全研究人员在 GitHub.com 上修复了漏洞，并开始轮换所有可能暴露的凭证。 在进行了全面调查后，根据漏洞问题的独特性以及对内部的遥测和日志记录的分析，公司研究人员有信心地认为 CVE-2024-0200  漏洞没有被威胁攻击者发现和利用过。DePriest 还强调，根据安全程序且出于谨慎考虑，公司对凭证进行了轮换，并强烈建议用户定期从 API 中提取公钥，以确保使用的是来自 GitHub 的最新数据。 此外，尽管 GitHub 在 12 月份轮换的大部分密钥无需客户自行操作，但那些使用 GitHub 提交签名密钥和 GitHub Actions、GitHub Codespaces 以及 Dependabot 客户加密密钥的用户需要导入新的公钥。 近期，GitHub 似乎很不”健康“，接连爆出多个安全漏洞。前段时间，GitHub 方面修复了一个高严重性企业服务器命令注入漏洞（CVE-2024-0507），该漏洞允许威胁攻击者使用具有编辑器角色的管理控制台用户账户提升权限。 2023 年 3 月，GitHub.com 的私人 SSH 密钥意外地通过 GitHub 公共仓库 “短暂 “暴露了一段时间，影响了使用 RSA 通过 SSH 进行的 Git 操作，之后该公司也轮换了 GitHub.com 的私人 SSH 密钥。 2022 年 12 月，威胁攻击者在攻破 GitHub 公司的开发和发布计划存储库后，窃取了大量敏感数据，迫使GitHub 不得不撤销其 Desktop 和 Atom 应用程序的代码签名证书。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389885.html 封面来源于网络，如有侵权请联系删除

根据Recorded Future最近的一份报告，开发者平台GitHub最近已成为黑客用来托管和传播恶意软件的流行工具。该平台为攻击者提供了将其行为伪装成合法网络流量的能力，这使得跟踪和确定攻击者的身份变得困难。 专家将这一策略称为“Living Off Trusted Sites”（LOTS），它是“Living off the Land”（LotL）技术的一种修改版本，攻击者经常使用这种技术来隐藏恶意活动。 滥用GitHub的最常见方式之一是传播恶意软件。例如，ReversingLabs在上个月发布的报告中提到了一些伪造的Python包，这些包通过秘密的GitHub存储库接收恶意命令。 尽管GitHub上的治理系统的完整实施相对较少见，但将该平台用作“死箱”以获取治理服务器的URL则更为普遍。虽然使用GitHub上传数据的情况相对罕见，但仍有记录表明这是由于文件大小限制和对被发现的担忧。根据Recorded Future的说法，这一现象依然存在。 除了上述方案外，攻击者还经常通过多种方式利用GitHub。这包括将GitHub Pages用作网络钓鱼或流量重定向主机，以及作为备份控制通道。 Recorded Future的报告强调了攻击者借助合法互联网服务的整体趋势，其中包括Google Drive、Microsoft OneDrive、Dropbox、Notion、Firebase、Trello、Discord以及各种源代码管理平台（如GitLab、BitBucket、Codeberg）。 Recorded Future指出，对流行服务的滥用检测目前还没有通用解决方案。在这方面，需要结合不同的检测策略，具体取决于环境特征、日志可用性、组织结构、服务使用模式和风险级别。   转自安全客，原文链接：https://www.anquanke.com/post/id/292638 封面来源于网络，如有侵权请联系删除

Web 应用程序漏洞测试 公司VulnCheck 的一项新研究发现， GitHub上 有超过 15,000 个Go模块存储库容易受到存储库劫持或“RepoJacking”攻击。 这种类型的攻击允许黑客恶意利用其合法所有者执行的名称更改或完全删除 GitHub 帐户。为此，攻击者创建一个与旧存储库同名的全新存储库，然后利用其与软件供应链其他部分的连接来分发恶意代码。 据 VulnCheck 称，已在超过 15,000 个 Go 模块存储库中发现了此类攻击的漏洞。“由于 GitHub 用户名更改，超过 9,000 个存储库容易受到攻击。另有 6,000 多个账户因账户删除而被删除，”该公司首席技术官 Jacob Baines 对结果评论道。 这些存储库总共包含至少 80 万个版本的 Go 模块，供世界各地的开发人员使用。因此，即使捕获这些存储库的一部分，也可能对许多软件产品的网络安全造成严重后果。 用 Go 编程语言编写的模块构成了特殊的威胁。与npm或PyPI等具有集中存储库的其他解决方案不同，Go 模块是在 GitHub 或Bitbucket等平台上分散发布的。 “任何人都可以指示 Go 模块镜像和 pkg.go.dev 绕过存储库来缓存模块详细信息，”Baines 指出。因此，攻击者只需要捕获旧用户的名称和流行存储库的名称，而无需直接与 GitHub 交互。 GitHub 正试图通过阻止使用先前删除的流行名称创建存储库来对抗此类攻击。但这对于 Go 模块来说并不有效，这些模块是绕过主存储库进行缓存的。 “不幸的是，缓解所有这些潜在的存储库接管对于 Go 或 GitHub 公司来说是一个挑战。第三方无法合理注册 15,000 个安全账户，”Baines 表示。他鼓励 Go 开发人员保持警惕并仔细监控他们使用的模块和存储库的状态。 因此，存储库劫持攻击的威胁对于 GitHub 生态系统来说非常严重，可能对整个网络安全造成重大损害。GitHub 和 Go 应迅速制定有效的对策来保护模块和存储库免受此类攻击。   转自安全客，原文链接：https://www.anquanke.com/post/id/291683 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，安全研究员发现 GitHub 中存在一个新安全漏洞，该漏洞可能导致数千个存储库面临劫持攻击的风险。据悉，在 2023 年 3 月 1 日漏洞披露后，微软旗下的代码托管平台已于 2023 年 9 月 1 日解决了安全漏洞问题。 Checkmarx 安全研究员 Elad Rapoport 在与 The Hacker News 分享的一份技术报告中指出，漏洞问题影响深远，一旦网络攻击者成功利用安全漏洞，便可以劫持使用 Go、PHP 和 Swift 等语言的 4000 多个代码包以及 GitHub 操作，从而影响开源社区的安全。 repocapping 是存储库劫持（repository hijacking）的简称，是一种威胁攻击者能够绕过一种流行的存储库命名空间退役的安全机制并最终控制存储库的技术。（该保护措施的作用是防止其他用户在重命名其用户帐户时创建与包含 100 个以上克隆的存储库同名的存储库。）换句话说，用户名和存储库名称的组合被视为“已退役”状态。 如果这一保障措施被轻易规避，威胁攻击者就可以用相同的用户名创建新账户并上传恶意存储库，从而可能导致软件供应链攻击。 Checkmarx 提出的新方法主要利用了创建存储库和重命名用户名之间的潜在竞争条件来实现劫持存储库。具体来说，需要以下步骤： 受害者拥有命名空间 “victim_user/repo 受害者将 “victim_user “重命名为 “renamed_user” 受害者用户/repo “版本库已退役 用户名为 “acker_user “的威胁攻击者同时创建一个名为 “repo “的存储库，并将用户名 “acker_user “重命名为 “victor_user” 最后一步是使用 API 请求创建版本库，并截获重命名请求以更改用户名。 值得一提的是，GitHub 在近九个月前还修补了一个类似的绕过漏洞，该漏洞可能会为劫持攻击打开“方便之门”。   转自Freebuf，原文链接：https://www.freebuf.com/news/377948.html 封面来源于网络，如有侵权请联系删除