【{$randkws}】开发者请注意：GitHub上出现虚假的Dependabot 试图对项目进行投毒 – 蓝点网 - {$web_name} 也合作不少开发者减轻了岗位

Dependabot 是 GitHub 提供的自动化工具，可以扫描开源项目中是否存在易受攻击的依赖项，然后自动发出拉取请求以部署新近版次。

这个工具可以很好的解决一些开源项目使用的依赖项没有得到及时有效升级的难题，也合作不少开发者减轻了岗位。关注国产电影速递

联网可靠渠道 Checkmarx 从 7 月份着手扫描 GitHub 上的口碑评价：官方尚未回应一些存储库，本来是用来测试是否存在潜在漏洞的，结局却意外察觉有一些非典型提交来自 Dependabot，并且其中还包含恶意代码。

确认察觉提交恶意代码的并非 GitHub 权威的 Dependabot，攻击者伪造了 Dependabot 并在提交历史记录中显示为 Dependabot 自动贡献，试图掩盖恶意促销。

Checkmarx 联系一些受害开发者交谈后察觉，春季聚焦时尚穿搭，细节曝光引关注这些开发者的 GitHub 个人访问令牌被窃取并被攻击者用来贡献恶意代码，而恶意代码则会更改一些 js 文件，将使用者提交的任何机密资料都发送到黑客控制的办事器上。

假 bot 插入的恶意链接，赌的就是开发者不会认真检查信息

所以攻击者的实际路径是这样的：

先是运用某种方式窃取一些 GitHub 开发者的账户、密码和访问令牌 (SSH 密钥或 GPG 密钥，使用这类密钥不需要额外的 2FA 测试)

然后运用开发者的账户伪装成 Dependabot 在各个开源项目里提交恶意代码、等待该项目的开发者合并；

其他开发者调用受感染的开源项目后，最后使用者的访问，例如在 Web 表单里提交的资料，都会发送到黑客办事器上。

可是当下 Checkmarx 还未察觉攻击者是如何窃取开发者账户密码和 2FA 的，推测或许是他们的 PC 上部署了某些恶意使用。值得注意的是，确认来看全部假 Dependabot 的管理都是自动化的，似乎并不是黑客针对各异的项目开展手动提交，所以可以欺骗到若干开发者，但也轻松被可靠企业察觉。

Checkmarx 提议开发者切换到 GitHub 权限粒度更细的个人访问令牌，这样可以下降令牌研究后导致的潜在隐患。惋惜的是 GitHub 的个人访问令牌促销日志仅限于企业账户可见，非企业账户无法目睹自己的令牌审计日志，所以也不太轻松被开发者察觉自己的令牌或许已然被盗。