攻击者推送虚假Dependabot入侵GitHub存储库

发布于：2023-09-28

应用安全公司Checkmarx报告称，攻击者将虚假的Dependabot贡献推送到数百个GitHub存储库，以注入恶意代码窃取项目中的敏感信息和最终用户的口令。Dependabot是GitHub的免费自动化依赖关系管理工具，可帮助软件开发人员识别和解决代码中的漏洞为了逃避检测，攻击者伪造提交消息。除此之外，攻击者创建了一条提交消息“修复”，以此欺骗开发人员这些提交来自GitHub的工具。