Исследователи из компании Aqua Security проанализировали применимость атаки RepoJacking к репозиториям на GitHub. Суть проблемы в том, что после удаления или переименования проектов на GitHub, в сторонних репозиториях могут остаться ссылки на уже несуществующие имена, например, в документации, скриптах и инструкциях по установке из README-файлов. Атакующий может зарегистрировать на GitHub имя пользователя, повторяющее ранее существовавшее имя, разместить в репозитории с повторяющимся именем вредоносное ПО и ожидать, что кто-то загрузит его, пользуясь неисправленными руководствами или старым кодом, загружающим зависимости по старым ссылкам...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59339

• Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Анониссимус, 13:17 , 24-Июн-23
  • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Всем Анонимам Аноним, 13:54 , 24-Июн-23
    • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 17:58 , 24-Июн-23
      • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,КО, 18:39 , 24-Июн-23
        • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 04:59 , 26-Июн-23
      • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Бывалый смузихлёб, 10:17 , 25-Июн-23
        • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 04:52 , 26-Июн-23
    • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Анониссимус, 20:40 , 24-Июн-23
  • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 13:55 , 24-Июн-23
    • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 18:00 , 24-Июн-23
      • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 22:30 , 24-Июн-23
      • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 23:37 , 24-Июн-23
  • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Amonim, 21:26 , 24-Июн-23
    • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Анониссимус, 01:08 , 25-Июн-23
      • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 22:29 , 03-Июл-23
        • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Анониссимус, 01:35 , 04-Июл-23
• Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 13:53 , 24-Июн-23
  • Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 07:19 , 25-Июн-23
• Анализ подверженности репозиториев на GitHub атаке RepoJacki...,Аноним, 10:15 , 27-Июн-23

Держать исходники на блокчейне -- было бы самым надёжным решением. Держать в облачном сервисе -- самое ненадёжное.

Есть ещё компромиссный вариант: держать на своём сервере. Вот что мешало например гуглу хранить свою либу на своём сервере? Но нет же, всем гетхапчик подавай.

Блокчейн ничем не лучше просто проверки контрольной суммы. Но это только для конкретной версии.
Если нужна последняя версия, то тогда блокчейн не спасет в случае кражи ключей. Более того, будет куча исходников, которые навечно будут туда ссылаться. Поэтому этот вирус будут получать и через 50 лет.

Нет простых и идеальных решений.

> Блокчейн ничем не лучше просто проверки контрольной суммы.

Лучше.
Чтобы добавить блок, нужно заплатить. Т.е. чтобы создать repojacking надо заплатить хотя бы минимальную комиссию за каждый репозиторий (а скорее всего существенно больше, зависит от реализации), что резко сужает круг репозиториев, которые имеет смысл реподжектить.
Во-вторых в биткойне (а остальные блокчейны не нужны) ещё и по адресу можно определять владельца. Т.е. это не только контрольная сумма, но и подпись. Владеешь кошельком - значит владеешь репозиторием (что все же лучше по безопасности чем емейл/пароль на гитлабе). Есть даже аутентификации на lightining (LNURL-auth).

> Более того, будет куча исходников, которые навечно будут туда ссылаться. Поэтому этот вирус будут получать и через 50 лет.

Но и полезный софт тоже будет доступен через 50 лет. Кроме того пользователи легко смогут отфильтровать проекты по времени.

> Нет простых и идеальных решений.

Абсолютно верно! В наше время любят про это забывать.

Все эти ваши смузидвижения можно произвести и без блокчейна и по мощности пук будет примерно такой же.

> Все эти ваши смузидвижения можно произвести и без блокчейна и по мощности
> пук будет примерно такой же.

Можно. Но вся централизация упирается в бесконечное количество всяких *джекингов, фишингов, атак на владельца, злоупотреблений и пр. Ну а с децентрализацией предлагайте, попробую рассказать почему этот способ хуже (ну или позорно посыплю голову пеплом если предложите что-то стоящее).

чтобы взымать плату блокчейн не обязателен
ну а второй аргумент - по сути, можно просто сделать доступ по ИД репы без возможности его менять

> чтобы взымать плату блокчейн не обязателен
> ну а второй аргумент - по сути, можно просто сделать доступ по
> ИД репы без возможности его менять

Можно, но если это централизация, то привет проблемы гитхаба (собственно имя это ид, а то что его можно менять это бага, то что ид станет цифровым, не избавит от багов, не говоря уже о других проблемах, на мой взгляд более весомых).
Если это децентрализация, то нужны методы борьбы с фейками. В биткойне уже это есть (собственно он изначально и вырос из антиспамера для почты).

> Блокчейн ничем не лучше просто проверки контрольной суммы. Но это только для
> конкретной версии.
> Если нужна последняя версия, то тогда блокчейн не спасет в случае кражи
> ключей. Более того, будет куча исходников, которые навечно будут туда ссылаться.
> Поэтому этот вирус будут получать и через 50 лет.
> Нет простых и идеальных решений.

У блокчейна есть одна важная особенность: защита от подделки истории. Если туда что-то записано, изменить это нельзя (если это сильный блокчейн). Поэтому, теоретически, разные библиотеки и пр. можно было бы аудировать и конкретные версии записывать в блокчейн (или хеш просто). Тогда эта конкретная версия ПО была бы защищена и от потенциальных взломщиков, и даже от самого автора софта.

Деньги.
Вы не против организовать нам всем халявный аналог гитхаба, раз уж так хорошо разбираетесь в надежности и что кому мешает?

Так есть же, но вы же сами им не пользуетесь. Поколение рабов хочет жить по-царски, но боится ломать цепи.

Если ты сейчас не про хостинг кода pashev.ru, то больше не разговаривай со мной никогда.

>рабы хотят вкалывать бесплатно, делая свои никому кроме них не нужные хобби-проекты, но при этом чтобы их хобби оплачивал кто-то другой

пофиксил.

В git целостность истории обеспечивается на основе дерева хешей. Чем это не блокчейн? В основе те же принцыпы и технологии.

Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить. А в блокчейне это невозможно, если только не завладеешь контролем над всей сетью.

> Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить.

Чё правда?

>> Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить.
> Чё правда?

Я в устройстве гита глубоко не разбираюсь. Но есть вполне понятные соображения. Репозиторий чаще всего хранится на одном главном хосте (хоть система и является распределённой). С этого же главного хоста потом и скачиваются исходники. И если тот, кто управляет главным репозиторием (или тот, кто захватил контроль) внедрит какой-нибудь вредонос в исходники; то те, кто делает `git clone` (пользователи, мейнтейнеры, скрипты -- не важно) ничего не заметят. Потому что почти никто не будет сверять хеши. Да и с чем сверять? Где хранится хеш от "правильной", не подменённой версии ПО? Такую проблему может решить только хранилище, в котором историю действительно невозможно переписать задним числом. И насколько я знаю, единственной такой технологией является блокчейн.

Хотелось бы детализации на основе ЯП, а то я подозреваю, что уязвимость сильно завязана на лефтпады.

Может на всеми любимый тут go

Потому что гит это горбуха идеологически. Вот и страдайте. А нормальные люди пользовались и будут пользоваться централизованными, платными сервисами.