消息称数百个 GitHub 存储库被黑客注入恶意代码，安全公司呼吁用户使用新版令牌

图片地址：https://img.ithome.com/newsuploadfiles/2023/10/72209117-c689-4da4-a906-83ae3d785aaf.png?x-bce-process=image/format,f_auto

IT之家 10 月 5 日消息，网络安全公司 Checkmarx 日前发现，GitHub 上有数百个储存库遭到黑客注入恶意代码。据悉，除了公开储存库之外，这次攻击事件也影响一些私人储存库，因此研究人员推测攻击是黑客利用自动化脚本进行的。据悉，这起攻击事件发生在今年 7 月 8 日到 7 月 11 日，黑客入侵数百个 GitHub 储存库，并利用 GitHub 的开源自动化工具 Dependabot 伪造提交信息，试图掩盖恶意活动，让开发者以为提交信息是 Dependabot 所为，从而忽视相关信息。IT之家经过查询得知，攻击总共可分为三个阶段，首先是确定开发者“个人令牌”，安全公司研究人员解释，开发者要进行 Git 操作，就必须使用个人令牌设置开发环境，而这一令牌会被储存在开发者本地，很容易被获取，由于这些令牌不需要双重验证，因此黑客很容易就能确定这些令牌。▲ 图源 Checkmarx第二阶段则是窃取凭据，研究人员目前