游客發表
Dependabot 是請注意 GitHub 提供的自動化工具,可以掃描開源項目中是上出試圖否存在易受攻擊的依賴項,然后自動發出拉取請求以安裝最新版本。現虛行投南京小姐外圍vx《1662-044-1662》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達
這個工具可以很好的對項毒藍點網解決一些開源項目使用的依賴項沒有得到及時有效更新的問題,也幫助不少開發者減輕了工作。目進
網絡安全平臺 Checkmarx 從 7 月份開始掃描 GitHub 上的請注意一些存儲庫,本來是上出試圖用來檢測是否存在潛在漏洞的,結果卻意外發現有一些非典型提交來自 Dependabot,現虛行投并且其中還包含惡意代碼。對項毒藍點網南京小姐外圍vx《1662-044-1662》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達
分析發現提交惡意代碼的目進并非 GitHub 官方的 Dependabot,攻擊者偽造了 Dependabot 并在提交歷史記錄中顯示為 Dependabot 自動貢獻,請注意試圖掩蓋惡意活動。上出試圖
Checkmarx 聯系一些受害開發者交談后發現,現虛行投這些開發者的對項毒藍點網 GitHub 個人訪問令牌被竊取并被攻擊者用來貢獻惡意代碼,而惡意代碼則會修改一些 js 文件,目進將用戶提交的任何機密數據都發送到黑客控制的服務器上。
假 bot 插入的惡意鏈接,賭的就是開發者不會仔細檢查內容
所以攻擊者的實際路徑是這樣的:
首先利用某種方式竊取一些 GitHub 開發者的賬號、密碼和訪問令牌 (SSH 密鑰或 GPG 密鑰,使用這類密鑰不需要額外的 2FA 驗證)
然后利用開發者的賬號偽裝成 Dependabot 在各個開源項目里提交惡意代碼、等待該項目的開發者合并;
其他開發者調用受感染的開源項目后,最終用戶的訪問,例如在 Web 表單里提交的數據,都會發送到黑客服務器上。
不過目前 Checkmarx 還未發現攻擊者是如何竊取開發者賬號密碼和 2FA 的,推測可能是他們的 PC 上安裝了某些惡意軟件。值得注意的是,分析來看整個假 Dependabot 的運作都是自動化的,似乎并不是黑客針對不同的項目進行手動提交,因此可以欺騙到部分開發者,但也容易被安全公司發現。
Checkmarx 建議開發者切換到 GitHub 權限粒度更細的個人訪問令牌,這樣可以降低令牌泄露后造成的潛在風險。遺憾的是 GitHub 的個人訪問令牌活動日志僅限于企業賬戶可見,非企業賬戶無法看到自己的令牌審計日志,因此也不太容易被開發者發現自己的令牌可能已經被盜。
北京外圍模特上門外圍上門外圍女(電話微信199-7144-9724)提供頂級外圍女上門、伴游,空姐,網紅,明星,車模等優質資源,可滿足您的一切要求
義烏美女上門聯系方式(電話微信199-7144-9724)提供頂級外圍女上門,伴游,空姐,網紅,明星,車模等優質資源,可滿足你的一切要求
隨機閱讀
- 育碧或開發大逃殺新作 《全境封鎖》團隊打造
- 煉化珍稀名將武魂 《刀鋒無單》熔煉體系掀秘
- 迎秋支豪禮《推理教院》的魅力王會get到甚么大年夜禮包?
- 《逝世化奇兵:保躲版》IGN 8.2分 新老玩家皆值得具有
- 魔靈吸喚:10周年史詩級 ‘咒術回戰’夢境聯動重磅上線
- FANTHFUL《拂曉傳講》民剛正版受權系列周邊產品
- 金童玉女來臨 《皇圖》齊仄易遠散禍弄法掀秘
- 《像素騎士團》9月14日更新保護告訴布告
- 《爐石傳說》國服宣布9月25日回歸
- 《漫威蜘蛛俠》開辟商新做《漫威金剛狼》初次公開
- 《足球經理2022》現已開啟預購 Steam國區224元
- TGS 2016:《終究胡念15》大年夜量新圖預報片 王子公主約會
- 《絕地求生》手游聯動《碟中諜6》 加入稀有外觀降落傘
- Linux體系PS4摹擬器Spine現已支撐300多款游戲
熱門排行