<bdo id="m6bas"></bdo>
您的當(dāng)前位置:首頁 > 百科 > 開發(fā)者請注意:GitHub上出現(xiàn)虛假的Dependabot 試圖對項(xiàng)目進(jìn)行投毒 – 藍(lán)點(diǎn)網(wǎng) 正文
時(shí)間:2025-11-24 19:53:54 來源:網(wǎng)絡(luò)整理 編輯:百科
Dependabot 是 GitHub 提供的自動(dòng)化工具,可以掃描開源項(xiàng)目中是否存在易受攻擊的依賴項(xiàng),然后自動(dòng)發(fā)出拉取請求以安裝最新版本。這個(gè)工具可以很好的解決一些開源項(xiàng)目使用的依賴項(xiàng)沒有得到及時(shí)有效 廣州同城上門外圍上門外圍女(電話微信156-8194-*7106)提供頂級外圍女上門,可滿足你的一切要求
Dependabot 是請注意 GitHub 提供的自動(dòng)化工具,可以掃描開源項(xiàng)目中是上出試圖否存在易受攻擊的依賴項(xiàng),然后自動(dòng)發(fā)出拉取請求以安裝最新版本。現(xiàn)虛行投廣州同城上門外圍上門外圍女(電話微信156-8194-*7106)提供頂級外圍女上門,可滿足你的一切要求
這個(gè)工具可以很好的對項(xiàng)毒藍(lán)點(diǎn)網(wǎng)解決一些開源項(xiàng)目使用的依賴項(xiàng)沒有得到及時(shí)有效更新的問題,也幫助不少開發(fā)者減輕了工作。目進(jìn)
網(wǎng)絡(luò)安全平臺 Checkmarx 從 7 月份開始掃描 GitHub 上的請注意一些存儲庫,本來是上出試圖用來檢測是否存在潛在漏洞的,結(jié)果卻意外發(fā)現(xiàn)有一些非典型提交來自 Dependabot,現(xiàn)虛行投并且其中還包含惡意代碼。對項(xiàng)毒藍(lán)點(diǎn)網(wǎng)廣州同城上門外圍上門外圍女(電話微信156-8194-*7106)提供頂級外圍女上門,可滿足你的一切要求
分析發(fā)現(xiàn)提交惡意代碼的目進(jìn)并非 GitHub 官方的 Dependabot,攻擊者偽造了 Dependabot 并在提交歷史記錄中顯示為 Dependabot 自動(dòng)貢獻(xiàn),請注意試圖掩蓋惡意活動(dòng)。上出試圖
Checkmarx 聯(lián)系一些受害開發(fā)者交談后發(fā)現(xiàn),現(xiàn)虛行投這些開發(fā)者的對項(xiàng)毒藍(lán)點(diǎn)網(wǎng) GitHub 個(gè)人訪問令牌被竊取并被攻擊者用來貢獻(xiàn)惡意代碼,而惡意代碼則會(huì)修改一些 js 文件,目進(jìn)將用戶提交的任何機(jī)密數(shù)據(jù)都發(fā)送到黑客控制的服務(wù)器上。
假 bot 插入的惡意鏈接,賭的就是開發(fā)者不會(huì)仔細(xì)檢查內(nèi)容
所以攻擊者的實(shí)際路徑是這樣的:
首先利用某種方式竊取一些 GitHub 開發(fā)者的賬號、密碼和訪問令牌 (SSH 密鑰或 GPG 密鑰,使用這類密鑰不需要額外的 2FA 驗(yàn)證)
然后利用開發(fā)者的賬號偽裝成 Dependabot 在各個(gè)開源項(xiàng)目里提交惡意代碼、等待該項(xiàng)目的開發(fā)者合并;
其他開發(fā)者調(diào)用受感染的開源項(xiàng)目后,最終用戶的訪問,例如在 Web 表單里提交的數(shù)據(jù),都會(huì)發(fā)送到黑客服務(wù)器上。
不過目前 Checkmarx 還未發(fā)現(xiàn)攻擊者是如何竊取開發(fā)者賬號密碼和 2FA 的,推測可能是他們的 PC 上安裝了某些惡意軟件。值得注意的是,分析來看整個(gè)假 Dependabot 的運(yùn)作都是自動(dòng)化的,似乎并不是黑客針對不同的項(xiàng)目進(jìn)行手動(dòng)提交,因此可以欺騙到部分開發(fā)者,但也容易被安全公司發(fā)現(xiàn)。
Checkmarx 建議開發(fā)者切換到 GitHub 權(quán)限粒度更細(xì)的個(gè)人訪問令牌,這樣可以降低令牌泄露后造成的潛在風(fēng)險(xiǎn)。遺憾的是 GitHub 的個(gè)人訪問令牌活動(dòng)日志僅限于企業(yè)賬戶可見,非企業(yè)賬戶無法看到自己的令牌審計(jì)日志,因此也不太容易被開發(fā)者發(fā)現(xiàn)自己的令牌可能已經(jīng)被盜。
《絕地潛兵2》大型更新“Escalation of Freedom”公開2025-11-24 19:50
成績黨的分中欣喜 《永暫之源》百變稱吸等您拿2025-11-24 19:30
CJ參展陣容公布 Xbox細(xì)英足柄兩代國止年底上市2025-11-24 19:01
下玩收退化版《過山車大年夜亨2》超少軌講 坐完需真際45年!2025-11-24 18:28
《異域奇兵》宣傳片曝光 扮演冒險(xiǎn)者探索古老世界2025-11-24 18:27
PS Plus訂閱用戶超3600萬 索僧Q1游戲銷量一半是數(shù)字版2025-11-24 17:58
《賽專朋克2077》新截圖 游戲繪里逼真讓人印象深切2025-11-24 17:56
聯(lián)邦or兇恩由您去批示!《下達(dá) 哀兵士篇》最新真體桌游公布2025-11-24 17:36
《迪托之劍》上市預(yù)告片預(yù)覽 輪回故事自由度高2025-11-24 17:19
性別那皆沒有是事!《細(xì)靈寶可夢:劍/盾》無配角性別選項(xiàng)引玩家熱議2025-11-24 17:14
誠實(shí)的小魚貝貝的故事2025-11-24 19:40
最新UK銷量周榜出爐 英倫名流也皆愛“風(fēng)花雪月”2025-11-24 19:13
《三劍豪2》服從型弄法2025-11-24 18:04
足游《蒸汽無單OL》本日開啟遁獄尾測 戰(zhàn)姬體系開放2025-11-24 17:51
沒有請柬的小個(gè)子客人的故事2025-11-24 17:49
《女神同聞錄5R》新預(yù)報(bào) 7月30日公布摩我減納視頻2025-11-24 17:37
新秋賀歲 足游《太極熊貓》新版本本日齊仄臺上線2025-11-24 17:36
《脫越前圓:槍戰(zhàn)王者》本日正式公測 僵尸狂潮兇悍去襲2025-11-24 17:20
《預(yù)兆景象》最新截圖公布 畫面絢麗2025-11-24 17:17
付出寶借款日面竄服從上線 利用謙一年者能夠參與2025-11-24 17:11
免責(zé)聲明:本站所有信息均來源于互聯(lián)網(wǎng)搜集,并不代表本站觀點(diǎn),本站不對其真實(shí)合法性負(fù)責(zé)。如有信息侵犯了您的權(quán)益,請告知,本站將立刻刪除。
Copyright © 2025 Powered by 開發(fā)者請注意:GitHub上出現(xiàn)虛假的Dependabot 試圖對項(xiàng)目進(jìn)行投毒 – 藍(lán)點(diǎn)網(wǎng),桑間濮上網(wǎng) sitemap
