El «Repo-jacking» es un tipo de ataque en la cadena de suministro que ha captado la atención debido a su potencial impacto en el software de código abierto. Consiste en sustituir un paquete de software confiable por malware, lo que podría permitir a un atacante distribuir software malicioso a una cantidad considerable de dispositivos. Este tipo de ataque se vuelve especialmente relevante en escenarios donde los desarrolladores descargan dependencias directamente desde repositorios en GitHub.
El riesgo de sufrir un ataque de «repo-jacking» es relativamente bajo si se utilizan gestores de paquetes como npm o PyPI para obtener dependencias de software, ya que estos gestores imponen controles de autenticación que dificultan la inyección de paquetes maliciosos sin acceso a las credenciales del mantenedor original. Sin embargo, para aquellos desarrolladores que extraen directamente dependencias desde GitHub, la amenaza es más real. El «Repo-jacking» podría ocurrir si un usuario de GitHub decide cambiar su nombre de usuario. En tales casos, si un atacante logra registrar el nombre de usuario anterior del desarrollador y crea un repositorio con el mismo nombre que el original, podría engañar a otros desarrolladores para que descarguen un paquete malicioso en lugar del legítimo. Sin embargo, GitHub ha implementado un algoritmo de «tombstoning» que reduce significativamente este riesgo al retirar permanentemente las combinaciones de nombre de propietario y nombre de...