分析来看整个假 Dependabot 的请注意运作都是自动化的,值得注意的上出试图是,因此可以欺骗到部分开发者,现虚行投
Dependabot 是对项毒蓝点网 GitHub 提供的自动化工具 ,并且其中还包含恶意代码。目进推测可能是请注意他们的 PC 上安装了某些恶意软件。这些开发者的上出试图 GitHub 个人访问令牌被窃取并被攻击者用来贡献恶意代码,因此也不太容易被开发者发现自己的现虚行投令牌可能已经被盗。