Repo-Jacking in der Softwarelieferkette

Repo Jacking meint eine von außen provozierte, erzwungene Übernahme eines Eigentümer- oder Projektbetreuerkontos, das ein Repository hostet. Dadurch hat ein Angreifer die Möglichkeit, bösartigen Code in Implementierungen eines oder mehrerer Projekte einzuschleusen, die es als Abhängigkeit nutzen.

Diese Art des Lieferkettenangriffs beruht in der Regel auf einer von zwei Methoden. Beide nutzen eine fehlende Validierung der Neuanmeldung auf Hosting-Plattformen wie etwa GitHub aus.

Quelle: Repo-Jacking in der Softwarelieferkette | www.dev-insider.de