消息称数百个 GitHub 存储库被黑客注入恶意代码,安全公司呼吁用户使用新版令牌

安全
黑客入侵数百个 GitHub 储存库,并利用 GitHub 的开源自动化工具 Dependabot 伪造提交信息,试图掩盖恶意活动,让开发者以为提交信息是 Dependabot 所为,从而忽视相关信息。

10 月 5 日消息,网络安全公司 Checkmarx 日前发现,GitHub 上有数百个储存库遭到黑客注入恶意代码。据悉,除了公开储存库之外,这次攻击事件也影响一些私人储存库,因此研究人员推测攻击是黑客利用自动化脚本进行的。

据悉,这起攻击事件发生在今年 7 月 8 日到 7 月 11 日,黑客入侵数百个 GitHub 储存库,并利用 GitHub 的开源自动化工具 Dependabot 伪造提交信息,试图掩盖恶意活动,让开发者以为提交信息是 Dependabot 所为,从而忽视相关信息

IT之家经过查询得知,攻击总共可分为三个阶段,首先是确定开发者“个人令牌”,安全公司研究人员解释,开发者要进行 Git 操作,就必须使用个人令牌设置开发环境,而这一令牌会被储存在开发者本地,很容易被获取,由于这些令牌不需要双重验证,因此黑客很容易就能确定这些令牌。

▲ 图源 Checkmarx▲ 图源 Checkmarx

第二阶段则是窃取凭据,研究人员目前还不确定黑客如何获取开发者凭据,但是他们猜测最有可能的情况,是受害者的电脑被恶意木马感染,再由恶意木马将第一阶段的“个人令牌”上传到攻击者的服务器。

▲ 图源 Checkmarx▲ 图源 Checkmarx

最后阶段便是黑客利用窃取来的令牌,通过 GitHub 验证对储存库注入恶意代码,而且考虑本次攻击事件规模庞大,研究人员推断黑客利用自动化程序,进行相关部署。

安全公司 Checkmarx 提醒开发者,即便在 GitHub 这样的可信任平台,也要谨慎注意代码的来源。之所以黑客能够成功发动攻击,便是因为许多开发者在看到 Dependabot 消息时,并不会仔细检查实际变更内容

而且由于令牌存取日志仅有企业账号可用,因此非企业用户也无法确认自己的 GitHub 令牌是否被黑客获取。

研究人员建议,用户可以考虑采用新版 GitHub 令牌(fine-grained personal access tokens),配置令牌权限,从而降低当令牌泄露时,黑客所能造成的损害。

▲ 图源 Checkmarx▲ 图源 Checkmarx

▲ 图源 GitHub▲ 图源 GitHub

参考

责任编辑:庞桂玉 来源: IT之家
相关推荐

2012-02-01 10:13:04

2019-05-07 08:41:03

GitHub黑客微软

2018-11-27 16:35:19

黑客JavaScript代码

2022-06-02 14:00:41

网络攻击黑客勒索攻击

2015-02-28 15:14:20

2022-08-04 18:58:18

Github恶意软件攻击

2014-02-11 09:15:33

2009-11-13 11:10:21

2022-01-20 15:44:48

黑客网络攻击网络安全

2024-03-25 13:28:48

2022-02-22 10:30:49

Kubernetes集群

2022-11-17 18:47:06

2022-08-14 16:15:52

Python机器学习大数据

2021-12-24 15:59:18

Azure漏洞源码库

2021-11-17 10:40:33

网络安全恶意代码网络攻击

2022-09-26 11:40:59

网络钓鱼恶意代码

2023-02-21 21:50:07

2010-09-03 12:01:17

SQL删除

2013-11-05 15:06:29

scdbg恶意代码分析安全工具

2019-05-05 07:48:30

GitHub代码开发者
点赞
收藏

51CTO技术栈公众号