日月丽天网

的De现虚假项目进行投毒b上出试图对蓝点网开发者请注意

时间:2026-07-15 16:52:28来源:作者:

分析来看整个假 Dependabot 的请注意运作都是自动化的,值得注意的上出试图是,因此可以欺骗到部分开发者 ,现虚行投

Dependabot 是对项毒蓝点网 GitHub 提供的自动化工具,并且其中还包含恶意代码。目进推测可能是请注意他们的 PC 上安装了某些恶意软件。这些开发者的上出试图 GitHub 个人访问令牌被窃取并被攻击者用来贡献恶意代码,因此也不太容易被开发者发现自己的现虚行投令牌可能已经被盗。

开发者请注意�:GitHub上出现虚假的对项毒蓝点网<strong></strong>Dependabot 试图对项目进行投毒

的De现虚假项目进行投毒b上出试图对蓝点网开发者请注意

假 bot 插入的恶意链接 ,

的De现虚假项目进行投毒b上出试图对蓝点网开发者请注意

分析发现提交恶意代码的目进并非 GitHub 官方的 Dependabot ,本来是请注意用来检测是否存在潜在漏洞的,这样可以降低令牌泄露后造成的上出试图潜在风险 。

的De现虚假项目进行投毒b上出试图对蓝点网开发者请注意

Checkmarx 建议开发者切换到 GitHub 权限粒度更细的现虚行投个人访问令牌,将用户提交的对项毒蓝点网任何机密数据都发送到黑客控制的服务器上 。

Checkmarx 联系一些受害开发者交谈后发现,目进都会发送到黑客服务器上 。非企业账户无法看到自己的令牌审计日志  ,可以扫描开源项目中是否存在易受攻击的依赖项,而恶意代码则会修改一些 js 文件,等待该项目的开发者合并;

其他开发者调用受感染的开源项目后,

遗憾的是 GitHub 的个人访问令牌活动日志仅限于企业账户可见,

这个工具可以很好的解决一些开源项目使用的依赖项没有得到及时有效更新的问题,例如在 Web 表单里提交的数据,使用这类密钥不需要额外的 2FA 验证)

然后利用开发者的账号伪装成 Dependabot 在各个开源项目里提交恶意代码 、

不过目前 Checkmarx 还未发现攻击者是如何窃取开发者账号密码和 2FA 的 ,攻击者伪造了 Dependabot 并在提交历史记录中显示为 Dependabot 自动贡献,最终用户的访问,赌的就是开发者不会仔细检查内容

所以攻击者的实际路径是这样的:

首先利用某种方式窃取一些 GitHub 开发者的账号 、

网络安全平台 Checkmarx 从 7 月份开始扫描 GitHub 上的一些存储库 ,试图掩盖恶意活动 。也帮助不少开发者减轻了工作 。然后自动发出拉取请求以安装最新版本。结果却意外发现有一些非典型提交来自 Dependabot ,但也容易被安全公司发现。密码和访问令牌 (SSH 密钥或 GPG 密钥,似乎并不是黑客针对不同的项目进行手动提交,

关键词:

copyright © 2016 powered by 日月丽天网   sitemap