安全公司 Aqua Nautilus 日前曝光了 GitHub 库中存在的 RepoJacking 漏洞,黑客可以利用该漏洞,入侵 GitHub 的私人或公开库,将这些组织内部环境或客户环境中的文件替换为带有恶意代码的版本,进行挟持攻击。据悉,当 GitHub 用户/组织更改其名称时,可能会发生 RepoJacking,这是一种供应链攻击,允许攻击者接管GitHub项目的依赖项或整个项目,以对使用这些项目的任何设备运行恶意代码。Aqua Nautilus表示,用户可以在 GitHub 库的旧名称与新名称之间创建链接(将旧名称重定向到新名称)来规避RepoJacking 漏洞。