数百个GitHub存储库注入恶意代码安全公司呼吁用户采用新版令牌
发布时间:2023-10-06 13:02:56 所属栏目:外闻 来源:
导读:近日,有数 百 个Github 的储存库被黑客植入恶意编码,这是由网络安 全公司Checkmarx所揭露的。据悉,除了公开储存库之外,这次攻击事件也影响一些私人储存库,因此研究人员推测攻击是黑客利用自动化脚本进行的。
|
近日,有数 百 个Github 的储存库被黑客植入恶意编码,这是由网络安 全公司Checkmarx所揭露的。据悉,除了公开储存库之外,这次攻击事件也影响一些私人储存库,因此研究人员推测攻击是黑客利用自动化脚本进行的。 据悉,这起攻击事件发生在今年 7 月 8 日到 7 月 11 日,黑客入侵数百个 GitHub 储存库,并利用 GitHub 的开源自动化工具 Dependabot 伪造提交信息,试图掩盖恶意活动,让开发者以为提交信息是 Dependabot 所为,从而忽视相关信息。 第二阶段则是窃取凭据,研究人员目前还不确定黑客如何获取开发者凭据,但是他们猜测最有可能的情况,是受害者的电脑被恶意木马感染,再由恶意木马将第一阶段的“个人令牌”上传到攻击者的服务器。 最后阶段不得不提到的便是第一类的黑客利用第三方窃取来的令牌,通过 GitHub 自动化的验证对储存库源源不断地注入恶意代码,而且考虑本次攻击事件规模庞大,研究人员推断黑客利用自动化程序,进行相关部署。 安全公司 Checkmarx 提醒开发者,即便在 GitHub 这样的可信任平台,也要谨慎注意代码的来源。之所以黑客能够成功发动攻击,便是因为许多开发者在看到 Dependabot 消息时,并不会仔细检查实际变更内容。 而且由于令牌存取日志仅有企业账号可用,因此非企业用户也无法确认自己的 GitHub 令牌是否被黑客获取。 研究人员建议,用户可以考虑采用新版 GitHub 令牌(fine-grained personal access tokens),配置令牌权限,从而降低当令牌泄露时,黑客所能造成的损害。来保护自己的数据安全。这样做的好处是,即使黑客攻击了某个特定的网站,也不会有太大的影响。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
