GitHub 上的假冒 Dependabot 攻击事件

重点提示

多个 GitHub 存储库遭遇冒充 Dependabot 的恶意提交。攻击者使用了被盗的个人访问令牌进行攻击。假冒提交意在注入恶意代码和窃取敏感数据。唤起开发者提高警惕，不要忽视来源安全。

最近，数百个 GitHub 存储库遭到攻击，恶意提交伪装成 GitHub 免费的自动依赖管理工具 Dependabot 的更新，这一事件的目的是为了促进恶意代码的注入以及窃取敏感项目数据，相关报道来自 SecurityWeek。攻击者利用被盗的 GitHub 个人访问令牌，成功渗透到多个存储库并注入恶意代码，伪造的 Dependabot 提交信息随后被用作绕过安全系统的手段，具体情况据 Checkmarx 报告。

在推送了假的 Dependabot 提交后，威胁行为者还提交了一个工作流文件，以使 GitHub 密钥能够发送到外部服务器，并且更改了所有的 js 文件以危害用户凭据和密码表单，研究人员报告称。Checkmarx 指出：“这整个事件提醒我们要谨慎选择代码来源，哪怕是像 GitHub 这样的可靠地方。这是我们首次观察到威胁行为者利用假 git 提交来伪装活动，因为许多开发者在看到 Dependabot 提交时不会检查实际更改。”

攻击类型影响防范措施假冒 Commit恶意代码注入定期审查提交和代码变化数据窃取敏感项目数据泄露加强个人访问令牌的安全管理

此外，开发者们需要警惕任何来自可信来源的代码更新，确保进行适当的验证与审查。这一事件无疑为我们敲响了警钟。

海外加速器