开发者请注意:GitHub上出现虚假的Dependabot 试图对项目进行投毒 – 蓝点网
我要评论Dependabot 是请注意 GitHub 提供的自动化工具,可以扫描开源项目中是上出试图否存在易受攻击的依赖项,然后自动发出拉取请求以安装最新版本。现虚行投
这个工具可以很好的对项毒蓝点网解决一些开源项目使用的依赖项没有得到及时有效更新的问题,也帮助不少开发者减轻了工作。目进圭亚那币圈粉
网络安全平台 Checkmarx 从 7 月份开始扫描 GitHub 上的请注意智利bc广告代投一些存储库,本来是上出试图用来检测是否存在潜在漏洞的,结果却意外发现有一些非典型提交来自 Dependabot,现虚行投并且其中还包含恶意代码。对项毒蓝点网
分析发现提交恶意代码的目进并非 GitHub 官方的 Dependabot,攻击者伪造了 Dependabot 并在提交历史记录中显示为 Dependabot 自动贡献,请注意试图掩盖恶意活动。上出试图
Checkmarx 联系一些受害开发者交谈后发现,现虚行投智利gp广告打粉这些开发者的对项毒蓝点网 GitHub 个人访问令牌被窃取并被攻击者用来贡献恶意代码,而恶意代码则会修改一些 js 文件,目进将用户提交的任何机密数据都发送到黑客控制的服务器上。
假 bot 插入的恶意链接,赌的就是开发者不会仔细检查内容
所以攻击者的实际路径是这样的:
首先利用某种方式窃取一些 GitHub 开发者的账号、密码和访问令牌 (SSH 密钥或 GPG 密钥,使用这类密钥不需要额外的 2FA 验证)
然后利用开发者的账号伪装成 Dependabot 在各个开源项目里提交恶意代码、等待该项目的智利IM钱包广告打粉开发者合并;
其他开发者调用受感染的开源项目后,最终用户的访问,例如在 Web 表单里提交的数据,都会发送到黑客服务器上。
不过目前 Checkmarx 还未发现攻击者是如何窃取开发者账号密码和 2FA 的,推测可能是他们的 PC 上安装了某些恶意软件。值得注意的是,分析来看整个假 Dependabot 的运作都是自动化的,似乎并不是黑客针对不同的项目进行手动提交,因此可以欺骗到部分开发者,但也容易被安全公司发现。
Checkmarx 建议开发者切换到 GitHub 权限粒度更细的个人访问令牌,这样可以降低令牌泄露后造成的潜在风险。遗憾的是 GitHub 的个人访问令牌活动日志仅限于企业账户可见,非企业账户无法看到自己的令牌审计日志,因此也不太容易被开发者发现自己的令牌可能已经被盗。
相关文章
这就是警察2是系列最新作品,最近关于游戏发售消息公布,这款游戏将在今年秋季发售,具体发售时间没有确定也是让玩家纷纷猜测,游戏采用冒险模拟玩法,会带来什么样的新体验,大家可以期待一下。今年早些时候,We2025-05-06
典范战棋类足游是很多的玩家很喜好的游戏的范例之一,正在典范战棋类足游中玩家能够体会到分歧的兴趣,上里小编便去先容几款好玩的典范战棋类足游,感兴趣的小水陪一起去看看吧。1.本石挨算本石挨算游戏截图本石挨2025-05-06
塞罕坝御讲心是一处极其罕见的旅游胜天,那里是当代帝王挨猎的处所,天然逝世态环境庇护非常好,果为数百年去耐暂被保护,很少有人类活动的陈迹,上里给大年夜家分享详细的自驾游攻略战指北。塞罕坝国度丛林公园位于2025-05-06
保存冒险类足机游戏是很多的玩家很喜好的游戏的范例之一,正在保存冒险类足机游戏中玩家能够体会到分歧的兴趣,上里小编便去先容几款好玩的保存冒险类足机游戏,感兴趣的小水陪一起去看看吧。1.龙止蛇舞龙止蛇舞游2025-05-06
第一人称恐怖冒险游戏《茧中蚕》将于7月25日登陆Switch平台
第一人称恐怖冒险游戏《茧中蚕》将于7月25日登陆Switch平台2024-07-23 10:12:47编辑:柒柒 玩家将扮2025-05-06
正在仙侠游戏当中分歧的职业具有分歧的特性,以是小编为大年夜家浑算了能够转职的仙侠足游,玩家能够经由过程转职去体验分歧的战役兴趣,玩家借能够汇散更多的设备,让您的战役力变得减倍的强大年夜,感兴趣的玩家从2025-05-06
最新评论