GitHub储存库遭黑客攻击：依赖自动化工具进行恶意代码注入

感谢随码网网友Alejandro86的线索投递！随码网10月5日消息，网络安全公司Checkmarx日前发现，GitHub上有数百个储存库遭到黑客注入恶意代码。不仅公开储存库受到攻击，私人储存库也未能幸免，表明攻击者可能利用自动化脚本进行操作。

这起攻击事件发生在今年7月8日至7月11日，黑客成功入侵数百个GitHub储存库，并利用开源自动化工具Dependabot伪造提交信息。攻击者试图通过这种方式掩盖恶意活动，让开发者误以为是Dependabot在进行提交，从而忽视潜在的安全风险。

安全公司Checkmarx的研究人员揭示了攻击的三个阶段。攻击者会确定开发者的“个人令牌”。开发者进行Git操作时必须使用个人令牌来设置开发环境，而这些令牌会被储存在开发者本地，容易遭到泄露。由于这些令牌不需要双重验证，黑客可以相对容易地获取这些信息。第二阶段是窃取凭据，研究人员目前还不确定黑客是如何获取开发者的凭据，但他们推测受害者的电脑可能被恶意木马感染，导致恶意木马将第一阶段的“个人令牌”上传到攻击者的服务器。最后一个阶段是黑客利用窃取来的令牌通过GitHub验证对储存库注入恶意代码。考虑到本次攻击事件波及范围广泛，研究人员认为黑客很可能利用自动化程序进行相关部署。

安全公司Checkmarx提醒所有开发者，即使在可信任的平台如GitHub也要保持高度警惕，谨慎对待代码的安全性。