日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

10 月 5 日消息，網(wǎng)絡(luò)安全公司 Checkmarx 日前發(fā)現(xiàn)，GitHub 上有數(shù)百個(gè)儲(chǔ)存庫(kù)遭到黑客注入惡意代碼。據(jù)悉，除了公開(kāi)儲(chǔ)存庫(kù)之外，這次攻擊事件也影響一些私人儲(chǔ)存庫(kù)，因此研究人員推測(cè)攻擊是黑客利用自動(dòng)化腳本進(jìn)行的。

成都創(chuàng)新互聯(lián)公司是一家專(zhuān)業(yè)提供寶安企業(yè)網(wǎng)站建設(shè),專(zhuān)注與做網(wǎng)站、網(wǎng)站制作、H5頁(yè)面制作、小程序制作等業(yè)務(wù)。10年已為寶安眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

據(jù)悉，這起攻擊事件發(fā)生在今年 7 月 8 日到 7 月 11 日，黑客入侵?jǐn)?shù)百個(gè) GitHub 儲(chǔ)存庫(kù)，并利用 GitHub 的開(kāi)源自動(dòng)化工具 Dependabot 偽造提交信息，試圖掩蓋惡意活動(dòng)，讓開(kāi)發(fā)者以為提交信息是 Dependabot 所為，從而忽視相關(guān)信息。

IT之家經(jīng)過(guò)查詢(xún)得知，攻擊總共可分為三個(gè)階段，首先是確定開(kāi)發(fā)者“個(gè)人令牌”，安全公司研究人員解釋?zhuān)_(kāi)發(fā)者要進(jìn)行 Git 操作，就必須使用個(gè)人令牌設(shè)置開(kāi)發(fā)環(huán)境，而這一令牌會(huì)被儲(chǔ)存在開(kāi)發(fā)者本地，很容易被獲取，由于這些令牌不需要雙重驗(yàn)證，因此黑客很容易就能確定這些令牌。

▲ 圖源 Checkmarx

第二階段則是竊取憑據(jù)，研究人員目前還不確定黑客如何獲取開(kāi)發(fā)者憑據(jù)，但是他們猜測(cè)最有可能的情況，是受害者的電腦被惡意木馬感染，再由惡意木馬將第一階段的“個(gè)人令牌”上傳到攻擊者的服務(wù)器。

▲ 圖源 Checkmarx

最后階段便是黑客利用竊取來(lái)的令牌，通過(guò) GitHub 驗(yàn)證對(duì)儲(chǔ)存庫(kù)注入惡意代碼，而且考慮本次攻擊事件規(guī)模龐大，研究人員推斷黑客利用自動(dòng)化程序，進(jìn)行相關(guān)部署。

安全公司 Checkmarx 提醒開(kāi)發(fā)者，即便在 GitHub 這樣的可信任平臺(tái)，也要謹(jǐn)慎注意代碼的來(lái)源。之所以黑客能夠成功發(fā)動(dòng)攻擊，便是因?yàn)樵S多開(kāi)發(fā)者在看到 Dependabot 消息時(shí)，并不會(huì)仔細(xì)檢查實(shí)際變更內(nèi)容。

而且由于令牌存取日志僅有企業(yè)賬號(hào)可用，因此非企業(yè)用戶(hù)也無(wú)法確認(rèn)自己的 GitHub 令牌是否被黑客獲取。

研究人員建議，用戶(hù)可以考慮采用新版 GitHub 令牌（fine-grained personal access tokens），配置令牌權(quán)限，從而降低當(dāng)令牌泄露時(shí)，黑客所能造成的損害。

▲ 圖源 Checkmarx

▲ 圖源 GitHub

參考

• Surprise: When Dependabot Contributes Malicious Code  
• Introducing fine-grained personal access tokens for GitHub

標(biāo)題名稱(chēng)：消息稱(chēng)數(shù)百個(gè)GitHub存儲(chǔ)庫(kù)被黑客注入惡意代碼，安全公司呼吁用戶(hù)使用新版令牌
當(dāng)前路徑：http://www.dlmjj.cn/article/dpsdedc.html