攻击者伪造了 GitHub 提供的自动化工具 Dependabot，在开源项目中提交恶意代码，窃取开发者的机密数据。Checkmarx 建议开发者切换到 GitHub 权限粒度更细的个人访问令牌，以降低令牌泄露后造成的潜在风险。