Dependabot 是請(qǐng)注意 GitHub 提供的自動(dòng)化工具，可以掃描開(kāi)源項(xiàng)目中是上出試圖否存在易受攻擊的依賴(lài)項(xiàng)，然后自動(dòng)發(fā)出拉取請(qǐng)求以安裝最新版本。現(xiàn)虛行投杭州美女上門(mén)預(yù)約（微信█1894143█）提供頂級(jí)外圍女上門(mén)，可滿(mǎn)足你的一切要求

這個(gè)工具可以很好的對(duì)項(xiàng)毒藍(lán)點(diǎn)網(wǎng)解決一些開(kāi)源項(xiàng)目使用的依賴(lài)項(xiàng)沒(méi)有得到及時(shí)有效更新的問(wèn)題，也幫助不少開(kāi)發(fā)者減輕了工作。目進(jìn)

網(wǎng)絡(luò)安全平臺(tái) Checkmarx 從 7 月份開(kāi)始掃描 GitHub 上的請(qǐng)注意一些存儲(chǔ)庫(kù)，本來(lái)是上出試圖用來(lái)檢測(cè)是否存在潛在漏洞的，結(jié)果卻意外發(fā)現(xiàn)有一些非典型提交來(lái)自 Dependabot，現(xiàn)虛行投并且其中還包含惡意代碼。對(duì)項(xiàng)毒藍(lán)點(diǎn)網(wǎng)杭州美女上門(mén)預(yù)約（微信█1894143█）提供頂級(jí)外圍女上門(mén)，可滿(mǎn)足你的一切要求

分析發(fā)現(xiàn)提交惡意代碼的目進(jìn)并非 GitHub 官方的 Dependabot，攻擊者偽造了 Dependabot 并在提交歷史記錄中顯示為 Dependabot 自動(dòng)貢獻(xiàn)，請(qǐng)注意試圖掩蓋惡意活動(dòng)。上出試圖

Checkmarx 聯(lián)系一些受害開(kāi)發(fā)者交談后發(fā)現(xiàn)，現(xiàn)虛行投這些開(kāi)發(fā)者的對(duì)項(xiàng)毒藍(lán)點(diǎn)網(wǎng) GitHub 個(gè)人訪問(wèn)令牌被竊取并被攻擊者用來(lái)貢獻(xiàn)惡意代碼，而惡意代碼則會(huì)修改一些 js 文件，目進(jìn)將用戶(hù)提交的任何機(jī)密數(shù)據(jù)都發(fā)送到黑客控制的服務(wù)器上。

假 bot 插入的惡意鏈接，賭的就是開(kāi)發(fā)者不會(huì)仔細(xì)檢查內(nèi)容

所以攻擊者的實(shí)際路徑是這樣的：

首先利用某種方式竊取一些 GitHub 開(kāi)發(fā)者的賬號(hào)、密碼和訪問(wèn)令牌 (SSH 密鑰或 GPG 密鑰，使用這類(lèi)密鑰不需要額外的 2FA 驗(yàn)證)

然后利用開(kāi)發(fā)者的賬號(hào)偽裝成 Dependabot 在各個(gè)開(kāi)源項(xiàng)目里提交惡意代碼、等待該項(xiàng)目的開(kāi)發(fā)者合并；

其他開(kāi)發(fā)者調(diào)用受感染的開(kāi)源項(xiàng)目后，最終用戶(hù)的訪問(wèn)，例如在 Web 表單里提交的數(shù)據(jù)，都會(huì)發(fā)送到黑客服務(wù)器上。

不過(guò)目前 Checkmarx 還未發(fā)現(xiàn)攻擊者是如何竊取開(kāi)發(fā)者賬號(hào)密碼和 2FA 的，推測(cè)可能是他們的 PC 上安裝了某些惡意軟件。值得注意的是，分析來(lái)看整個(gè)假 Dependabot 的運(yùn)作都是自動(dòng)化的，似乎并不是黑客針對(duì)不同的項(xiàng)目進(jìn)行手動(dòng)提交，因此可以欺騙到部分開(kāi)發(fā)者，但也容易被安全公司發(fā)現(xiàn)。

Checkmarx 建議開(kāi)發(fā)者切換到 GitHub 權(quán)限粒度更細(xì)的個(gè)人訪問(wèn)令牌，這樣可以降低令牌泄露后造成的潛在風(fēng)險(xiǎn)。遺憾的是 GitHub 的個(gè)人訪問(wèn)令牌活動(dòng)日志僅限于企業(yè)賬戶(hù)可見(jiàn)，非企業(yè)賬戶(hù)無(wú)法看到自己的令牌審計(jì)日志，因此也不太容易被開(kāi)發(fā)者發(fā)現(xiàn)自己的令牌可能已經(jīng)被盜。

(責(zé)任編輯：娛樂(lè))

• ·東莞聯(lián)系方式外圍vx《134-8006-5952》提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)
• ·長(zhǎng)春（約炮）美女yp全套vx《749-3814》提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)
• ·青島外圍美女服務(wù)vx《134-8006-5952》提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)
• ·青島高級(jí)外圍上門(mén)資源vx《134-8006-5952》提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)
• ·成都錦江酒店上門(mén)服務(wù)按摩資源vx《749-3814》提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)
• ·蘇州（小姐上門(mén)按摩）小姐vx《134-8006-5952》提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)
• ·濟(jì)南歷城外圍大學(xué)生（服務(wù)）vx《134-8006-5952》提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)
• ·蘇州姑蘇外圍女模特平臺(tái)高端外圍vx《134-8006-5952》提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)