Attacks Blog

Mockito-documentatie gekaapt

Sommige aanvallen zijn stompzinnig laagdrempelig. Mockito, een populair open source-pakket, bevatte een kwaadaardige link in hun Github-documentatie.

Sep 30, 2025 • 2 min read

Simon Wijckmans Founder & CEO

Er werd een kwaadaardige installatielink aangetroffen op de GitHub-wiki van een populair open source-project. De link verwees naar een externe URL (https://yip[.]su/2F5rd4) die door VirusTotal als verdacht is gemarkeerd. Als jouw project gebruikmaakt van GitHub-wiki's, vergrendel ze dan en beperk de toegang.

Wat er is gebeurd

Tijdens het doornemen van de documentatie van mockito (het populairste mocking-framework voor unit tests geschreven in Java) ontdekte iemand dat de installatiesectie van de wiki gebruikers doorverwees naar een verkorte URL (https://yip[.]su/2F5rd4). De link had niets met het project te maken en is op VirusTotal als kwaadaardig gemarkeerd. De link stond meer dan 3 jaar op de startpagina van de wiki voordat hij werd verwijderd.

Discussie over het issue: https://github.com/mockito/mockito/issues/3721

Wiki-diff met de invoeging en verwijdering: https://github.com/mockito/mockito/wiki/Home/_compare/7303a66959d7823864637d280a92b2a51b68c467...eb1df9c48fd3529bed997a81b4a2100e8c562fcd

Kwaadaardige verkorte link: https://yip[.]su/2F5rd4

VirusTotal-rapport: https://www.virustotal.com/gui/url/d05eafed450060b4cf8b044bcd7f74f0e1131d49cd2ea76b84de934e55390233

Bewijs

De onderstaande wiki-diff toont geïnjecteerde HTML die downloadknoppen weergeeft en een Windows-link naar de kwaadaardige verkorte URL bevat:

[Download installer](http://goo-gl[.]me/kj2PI)
## Installation

<a href="https://yip[.]su/2F5rd4"><img src="https://github[.]com/aidenlab/JuiceboxLegacy/wiki/images/winlogo.png" width=100 align="middle"/></a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://yip[.]su/2F5rd4">Mockito for Windows</a>

<a href="https://github[.]com/mockito/mockito/releases"><img src="https://github[.]com/aidenlab/JuiceboxLegacy/wiki/images/maclogo.png" width=100 align="middle"/></a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://github[.]com/mockito/mockito/releases">Mockito for Mac</a>

<a href="https://github[.]com/mockito/mockito/releases"><img src="https://www.rvmis[.]com/vendor/Tux.svg.png" width=100 align="middle"/></a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://github[.]com/mockito/mockito/releases">Mockito for Linux</a>

Weergegeven versie: https://github.com/mockito/mockito/wiki/Home/_compare/7303a66959d7823864637d280a92b2a51b68c467...eb1df9c48fd3529bed997a81b4a2100e8c562fcd?short_path=355883c

De Windows-knop verwijst naar https://yip[.]su/2F5rd4.

Ook andere populaire projecten kunnen hierdoor worden getroffen. Dit is geen op zichzelf staand incident — elke populaire repository met een open wiki is kwetsbaar voor deze aanvalsmethode.

Waarom

GitHub-wiki's staan los van de coderepository en hebben hun eigen rechten binnen open publieke projecten. Wijzigingen omzeilen vaak het PR- en codereviewproces, waardoor iedereen een kwaadaardige link kan toevoegen die onopgemerkt blijft en door zoekmachines wordt geïndexeerd.

Wat je kunt doen om je open source-project te beschermen

Schakel wiki-bewerking uit of beperk het tot geselecteerde medewerkers
Verplaats installatiedocumentatie naar /docs (of de README) en vereis PR-reviews

Conclusie

Documentatie is onderdeel van je project — behandel het als echte code en volg hetzelfde review- en goedkeuringsproces.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Hoe Blokkeer Je OpenAI Operator op Je Website

OpenAI Operator surft op je site als een echte gebruiker. Leer detecteren en blokkeren via browserlaag-signalen en wanneer je dat niet moet doen.

Perplexity Shopper detecteren en blokkeren op uw website — cside blog

Hoe u Perplexity Shopper op uw website kunt blokkeren

Perplexity Shopper browst en koopt op retailwebsites namens Pro-gebruikers. Leer hoe u de browsersignalen detecteert en het verkeer beheert.

Een OAuth 2.0 access-token in het midden van een diagram dat een legitiem apparaat met het apparaat van een aanvaller verbindt

MFA faalde niet, het vertrouwensmodel faalde: device code phishing en OAuth-tokendiefstal (Kali365)

Kali365 misbruikt de OAuth 2.0 device authorization grant om Microsoft 365-tokens te stelen na MFA. Een technische analyse van de flow, FOCI en detectie.

Een browservenster dat oplost in een stroom blauwe lichtdeeltjes op een donkere achtergrond

AI verkort de exploitcyclus: Google's met AI ontwikkelde zero-day en wat dat betekent voor browsers

Google meldde een zero-day die volgens hen met AI is gemaakt. De echte AI-shift: niet slimmere phishing, maar hoe snel exploits de browser bereiken.

Sessietokens die door een browserbeveiligingsgrens naar apparaatfingerprintsignalen gaan

De browsersessie is nu een security control plane. Aanvallers wisten dat al jaren.

Google's DBSC-voorstel bevestigt een duidelijke verschuiving: browsersessies hebben apparaatvalidatie nodig na login.

Donkere cside-banner met een npm-supply-chain-aanval van het type worm

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.