日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

10 月 5 日消息，網(wǎng)絡(luò)安全公司 Checkmarx 日前發(fā)現(xiàn)，GitHub 上有數(shù)百個儲存庫遭到黑客注入惡意代碼。據(jù)悉，除了公開儲存庫之外，這次攻擊事件也影響一些私人儲存庫，因此研究人員推測攻擊是黑客利用自動化腳本進行的。

成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供寶安企業(yè)網(wǎng)站建設(shè),專注與做網(wǎng)站、網(wǎng)站制作、H5頁面制作、小程序制作等業(yè)務(wù)。10年已為寶安眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進行中。

據(jù)悉，這起攻擊事件發(fā)生在今年 7 月 8 日到 7 月 11 日，黑客入侵?jǐn)?shù)百個 GitHub 儲存庫，并利用 GitHub 的開源自動化工具 Dependabot 偽造提交信息，試圖掩蓋惡意活動，讓開發(fā)者以為提交信息是 Dependabot 所為，從而忽視相關(guān)信息。

IT之家經(jīng)過查詢得知，攻擊總共可分為三個階段，首先是確定開發(fā)者“個人令牌”，安全公司研究人員解釋，開發(fā)者要進行 Git 操作，就必須使用個人令牌設(shè)置開發(fā)環(huán)境，而這一令牌會被儲存在開發(fā)者本地，很容易被獲取，由于這些令牌不需要雙重驗證，因此黑客很容易就能確定這些令牌。

▲ 圖源 Checkmarx

第二階段則是竊取憑據(jù)，研究人員目前還不確定黑客如何獲取開發(fā)者憑據(jù)，但是他們猜測最有可能的情況，是受害者的電腦被惡意木馬感染，再由惡意木馬將第一階段的“個人令牌”上傳到攻擊者的服務(wù)器。

▲ 圖源 Checkmarx

最后階段便是黑客利用竊取來的令牌，通過 GitHub 驗證對儲存庫注入惡意代碼，而且考慮本次攻擊事件規(guī)模龐大，研究人員推斷黑客利用自動化程序，進行相關(guān)部署。

安全公司 Checkmarx 提醒開發(fā)者，即便在 GitHub 這樣的可信任平臺，也要謹(jǐn)慎注意代碼的來源。之所以黑客能夠成功發(fā)動攻擊，便是因為許多開發(fā)者在看到 Dependabot 消息時，并不會仔細(xì)檢查實際變更內(nèi)容。

而且由于令牌存取日志僅有企業(yè)賬號可用，因此非企業(yè)用戶也無法確認(rèn)自己的 GitHub 令牌是否被黑客獲取。

研究人員建議，用戶可以考慮采用新版 GitHub 令牌（fine-grained personal access tokens），配置令牌權(quán)限，從而降低當(dāng)令牌泄露時，黑客所能造成的損害。

▲ 圖源 Checkmarx

▲ 圖源 GitHub

參考

• Surprise: When Dependabot Contributes Malicious Code  
• Introducing fine-grained personal access tokens for GitHub

網(wǎng)頁題目：消息稱數(shù)百個GitHub存儲庫被黑客注入惡意代碼，安全公司呼吁用戶使用新版令牌
分享網(wǎng)址：http://m.5511xx.com/article/dpsdedc.html