Uma nova vulnerabilidade revelada no GitHub poderia ter exposto milhares de repositórios ao risco de ataques de “repojacking”.

A falha poderia permitir que um invasor explorasse uma condição nas operações de criação de repositório e renomeação de nome de usuário do GitHub.

A exploração bem-sucedida dessa vulnerabilidade impacta a comunidade de código aberto, possibilitando o sequestro de mais de 4.000 pacotes de código em linguagens como Go, PHP e Swift, bem como ações do GitHub.

Após a divulgação responsável em 1º de março de 2023, a plataforma de hospedagem de código do GitHub, de propriedade da Microsoft, resolveu o problema em 1º de setembro de 2023.

A descoberta dessa nova vulnerabilidade nas operações de criação de repositório e renomeação de nome de usuário do GitHub destaca os riscos persistentes associados ao mecanismo de aposentadoria de namespace de repositório popular.