蓝点网
·
开发者请注意:GitHub上出现虚假的Dependabot 试图对项目进行投毒
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
攻击者伪造了 GitHub 提供的自动化工具 Dependabot,在开源项目中提交恶意代码,窃取开发者的机密数据。Checkmarx 建议开发者切换到 GitHub 权限粒度更细的个人访问令牌,以降低令牌泄露后造成的潜在风险。
🎯
关键要点
- Dependabot 是 GitHub 提供的自动化工具,用于扫描开源项目中的易受攻击依赖项。
- Checkmarx 发现伪造的 Dependabot 提交了恶意代码,窃取开发者的机密数据。
- 攻击者利用窃取的 GitHub 个人访问令牌伪装成 Dependabot 提交恶意代码。
- 恶意代码会修改 js 文件,将用户提交的机密数据发送到黑客控制的服务器。
- 攻击者可能通过恶意软件窃取开发者的账号和密码,具体方式尚未确定。
- Checkmarx 建议开发者使用权限粒度更细的个人访问令牌以降低风险。
- GitHub 的个人访问令牌活动日志仅限于企业账户可见,非企业账户难以发现令牌被盗。
🏷️
标签
➡️
