IT之家6月27日消息，安全公司Aqua曝光了该库的一个漏洞。 黑客可以利用此漏洞入侵私人或公共图书馆，并用恶意文件替换这些组织内部环境或客户环境中的文件。 用于劫持攻击的代码版本。

据悉，当用户/组织更改名称时，就会发生这种情况，这是一种供应链攻击，允许攻击者接管项目的依赖项或整个项目，从而在使用这些项目的任何设备上运行恶意代码。

黑客可以直接扫描互联网，锁定需要攻击的库，绕过存储库的限制，将其中的文件替换为带有木马病毒的版本。 其他用户下载并部署后，黑百思特网客就可以控制用户终端并进行攻击。

Aqua 使用 Lyf百思特网t 进行了演示，他们创建了一个假的存储库并重定向了 fetch 脚本，使用 .sh 脚本的用户会在不知不觉中在自己身上安装带有恶意代码的 Lyft，截至发稿时，Lyft 的 bug 已被修复。

▲ 图片来源 Aqua

▲ 图片来源 Aqua

研究人员还在谷歌的库中发现了相关漏洞：

当用户访问时，他们将被重定向到 的存储库，以便最终用户获得访百思特网问权限。 但是，由于组织可用，攻击者可以打开 / 存储库，如果用户直接在终端中执行 给出的安装命令，实际上会下载被黑客替换的恶意文件。

经过 Aqua 的反馈，目前 已经修复了这个问题。

Aqua表示，用户可以在库的旧名称和新名称之间创建链接（将旧名称重定向到新名称）来规避该漏洞。 IT之家的朋友可以参考这里了解更多信息。