Dependabot 是請注意 GitHub 提供的自動化工具，可以掃描開源項目中是上出試圖否存在易受攻擊的依賴項，然后自動發(fā)出拉取請求以安裝最新版本。現(xiàn)虛行投珠海美女約炮（電話微信199-7144-9724）大保健可上門安排外圍外圍上門外圍女桑拿全套按摩

這個工具可以很好的對項毒藍點網(wǎng)解決一些開源項目使用的依賴項沒有得到及時有效更新的問題，也幫助不少開發(fā)者減輕了工作。目進

網(wǎng)絡(luò)安全平臺 Checkmarx 從 7 月份開始掃描 GitHub 上的請注意一些存儲庫，本來是上出試圖用來檢測是否存在潛在漏洞的，結(jié)果卻意外發(fā)現(xiàn)有一些非典型提交來自 Dependabot，現(xiàn)虛行投并且其中還包含惡意代碼。對項毒藍點網(wǎng)珠海美女約炮（電話微信199-7144-9724）大保健可上門安排外圍外圍上門外圍女桑拿全套按摩

分析發(fā)現(xiàn)提交惡意代碼的目進并非 GitHub 官方的 Dependabot，攻擊者偽造了 Dependabot 并在提交歷史記錄中顯示為 Dependabot 自動貢獻，請注意試圖掩蓋惡意活動。上出試圖

Checkmarx 聯(lián)系一些受害開發(fā)者交談后發(fā)現(xiàn)，現(xiàn)虛行投這些開發(fā)者的對項毒藍點網(wǎng) GitHub 個人訪問令牌被竊取并被攻擊者用來貢獻惡意代碼，而惡意代碼則會修改一些 js 文件，目進將用戶提交的任何機密數(shù)據(jù)都發(fā)送到黑客控制的服務(wù)器上。

假 bot 插入的惡意鏈接，賭的就是開發(fā)者不會仔細檢查內(nèi)容

所以攻擊者的實際路徑是這樣的：

首先利用某種方式竊取一些 GitHub 開發(fā)者的賬號、密碼和訪問令牌 (SSH 密鑰或 GPG 密鑰，使用這類密鑰不需要額外的 2FA 驗證)

然后利用開發(fā)者的賬號偽裝成 Dependabot 在各個開源項目里提交惡意代碼、等待該項目的開發(fā)者合并；

其他開發(fā)者調(diào)用受感染的開源項目后，最終用戶的訪問，例如在 Web 表單里提交的數(shù)據(jù)，都會發(fā)送到黑客服務(wù)器上。

不過目前 Checkmarx 還未發(fā)現(xiàn)攻擊者是如何竊取開發(fā)者賬號密碼和 2FA 的，推測可能是他們的 PC 上安裝了某些惡意軟件。值得注意的是，分析來看整個假 Dependabot 的運作都是自動化的，似乎并不是黑客針對不同的項目進行手動提交，因此可以欺騙到部分開發(fā)者，但也容易被安全公司發(fā)現(xiàn)。

Checkmarx 建議開發(fā)者切換到 GitHub 權(quán)限粒度更細的個人訪問令牌，這樣可以降低令牌泄露后造成的潛在風(fēng)險。遺憾的是 GitHub 的個人訪問令牌活動日志僅限于企業(yè)賬戶可見，非企業(yè)賬戶無法看到自己的令牌審計日志，因此也不太容易被開發(fā)者發(fā)現(xiàn)自己的令牌可能已經(jīng)被盜。