🗣 Исследование МТС RED: хакеры могут атаковать разработчиков ПО, захватывая сторонние репозитории

Команда МТС RED ART (Advanced Research Team) опубликовала исследование более 4,7 млн уникальных публичных репозиториев программного кода.

В современной разработке широко распространено использование внешних компонентов от сторонних разработчиков — библиотек. Если они подключаются из внешнего репозитория, то существует риск захвата этого хранилища злоумышленником.

Эксперты МТС RED ART проанализировали 6,3 млн репозиториев и выделили 4,7 млн уникальных, и у 8000 из них нет никакого содержимого. А в 986 случаях аккаунт, под которым изначально создавались репозитории — неактивен. Злоумышленники могут захватить эти репозитории и разместить там код с различными вредоносными функциями — от кражи данных и слежения за пользователями до полного контроля над пользовательскими устройствами. Такая атака называется #реподжекинг.

В добавок к исследованию ART разработали методику, которая с помощью несложных команд и нескольких программ помогает проверить свой код.