RepoJacking’は、ソフトウェアの依存関係を対象とした攻撃手段の一部で、Gitなどのバージョン管理システム(VersionControlSystem)のリポジトリを攻撃者が支配することにより発生します。攻撃者は目標となるリポジトリの管理者に成りすますことで、悪意あるコードやマルウェアを注入し、ソフトウェアサプライチェーンを悪用して攻撃を行います。
攻撃方法の中でも代表的なものは、ユーザー名の変更を利用するというものです。特定のリポジトリを管理するユーザーが名前を変更した場合、それに連なるプロジェクトはリダイレクトを通じて新たなユーザー名の下に存在するリポジトリを参照することになります。
