這種類型的供應(yīng)鏈攻擊往往通過利用GitHub 等托管平臺缺乏重新注冊驗證的漏洞。攻擊方式主要有兩種：

　　在這兩種情況下，攻擊者都有效地獲得了對倉庫的完全控制權(quán)，從而允許他們執(zhí)行各種特權(quán)操作。這些可能涉及指定其他惡意用戶或自行創(chuàng)建的賬戶作為管理員/維護者，進而用于批準對倉庫的推送和拉取請求。通過這種方式，可以將惡意或不需要的代碼強制注入到項目的新版本中。相反地，可以從倉庫中刪除版本和功能代碼，或故意推送中斷提交，從而允許阻礙或破壞預(yù)先存在的功能。

　　隨著供應(yīng)鏈攻擊的增加，Repo Jacking的案例也在增加，因為它通常是供應(yīng)鏈攻擊的第一步。接管倉庫可能是一個簡單的過程，但仍會導(dǎo)致嚴重的負面影響。目前有一些可用的補救措施正在研究中，以應(yīng)對此類攻擊。

　　多因素身份驗證(MFA)，通常為雙因素身份驗證(2FA)，為賬戶訪問提供第二層安全性。從理論上講，它應(yīng)該可以防止不法分子獲得對過期或已刪除賬戶的訪問權(quán)限。 GitHub是最大的Git倉庫的托管主機之一。GitHub宣布從 2023 年起，所有維護者賬戶都將強制執(zhí)行2FA。這代表著2FA的采用率將大幅上升，因為目前只有16.5%的活躍 GitHub 用戶使用 2FA。另一方面，流行的 JavaScript 包管理器 npm 并沒有強制執(zhí)行，也沒有宣布打算強制執(zhí)行 2FA。

　　域名接管是供應(yīng)鏈劫持倉庫的常見手法，例如當不法分子重新注冊電子郵件的過期域并使用該域請求重置密碼。倉庫

　　托管平臺可以先發(fā)制人，嘗試通過刪除或暫停有即將到期和已過期域的賬戶，以防止這種情況發(fā)生。切斷供應(yīng)鏈中的鏈接是阻止訪問可能受到損害的賬戶的重要一步。但是，這將對托管平臺產(chǎn)生更大的維護和監(jiān)控責(zé)任。

　　在接下來的幾個月甚至幾年里，開源項目將繼續(xù)擴大和賬戶數(shù)量也在增加，依賴項更多并且容易受到劫持。同時，更多所有者和作者賬戶將變得不活躍并被刪除，不法分子更加有機可乘，劫持倉庫。

　　盡管可以通過補救措施來防止其中許多漏洞，但當前的行業(yè)格局表明，選擇使用 MFA 等預(yù)防性技術(shù)的用戶數(shù)量有限。強制執(zhí)行2FA等方法可能是未來的發(fā)展方向。

　　Black Duck Security Advisories (BDSA)為用戶提供有關(guān)漏洞披露的詳細信息，自動生成的警報概述了易受攻擊的代碼和已使用軟件包中的補救措施。客戶可以使用 BDSA 快速修復(fù)新漏洞并了解包中的惡意開發(fā)，例如 Repo Jacking。BDSA會詳述被劫持的軟件包易受攻擊的版本、關(guān)鍵信息和新的開發(fā)，例如分叉的倉庫。

　　很多解決方案單單依賴美國國家漏洞數(shù)據(jù)庫(NVD)的數(shù)據(jù)。但是，許多漏洞和受影響的開源項目從未在NVD中記錄過，并且漏洞通常都是在發(fā)布幾周之后才被列入NVD。BDSA借助由 新思科技網(wǎng)絡(luò)安全研究中心 (CyRC)分析的增強型數(shù)據(jù)，保證完整性和準確性，并且可當日告知新報告的安全漏洞，平均比 NVD 提早了三周。這可以為用戶盡早發(fā)出漏洞提醒并提供全面的見解，大幅降低供應(yīng)鏈安全風(fēng)險。