A vulnerabilidade da cadeia de suprimentos, também conhecida como sequestro de repositório de dependência, é uma classe de ataques que permite assumir o controle de organizações ou nomes de usuário aposentados e publicar versões trojanizadas de repositórios para executar códigos maliciosos.
Uma análise de um subconjunto de 1,25 milhão de repositórios no mês de junho de 2019 revelou que até 36.983 repositórios eram vulneráveis ao RepoJacking, denotando uma taxa de sucesso de 2,95%.
Esta não é a primeira vez que tais preocupações são levantadas. Em outubro de 2022, o GitHub mudou-se para fechar uma brecha de segurança que poderia ter sido explorada para criar repositórios maliciosos e montar ataques à cadeia de suprimentos contornando a desativação de namespace de repositório popular.
Para atenuar esses riscos, é recomendável que os usuários inspecionem periodicamente seu código em busca de links que possam estar recuperando recursos de repositórios GitHub externos.