消息稱數(shù)百個 GitHub 存儲庫被黑客注入惡意代碼，安全公司呼吁用戶使用新版令牌

IT之家 10 月 5 日消息，網(wǎng)絡(luò)安全公司 Checkmarx 日前發(fā)現(xiàn)，GitHub 上有數(shù)百個儲存庫遭到黑客注入惡意代碼。據(jù)悉，除了公開儲存庫之外，這次攻擊事件也影響一些私人儲存庫，因此研究人員推測攻擊是黑客利用自動化腳本進(jìn)行的。

據(jù)悉，這起攻擊事件發(fā)生在今年 7 月 8 日到 7 月 11 日，黑客入侵?jǐn)?shù)百個 GitHub 儲存庫，并利用 GitHub 的開源自動化工具 Dependabot 偽造提交信息，試圖掩蓋惡意活動，讓開發(fā)者以為提交信息是 Dependabot 所為，從而忽視相關(guān)信息。

IT之家經(jīng)過查詢得知，攻擊總共可分為三個階段，首先是確定開發(fā)者“個人令牌”，安全公司研究人員解釋，開發(fā)者要進(jìn)行 Git 操作，就必須使用個人令牌設(shè)置開發(fā)環(huán)境，而這一令牌會被儲存在開發(fā)者本地，很容易被獲取，由于這些令牌不需要雙重驗證，因此黑客很容易就能確定這些令牌。

第二階段則是竊取憑據(jù)，研究人員目前還不確定黑客如何獲取開發(fā)者憑據(jù)，但是他們猜測最有可能的情況，是受害者的電腦被惡意木馬感染，再由惡意木馬將第一階段的“個人令牌”上傳到攻擊者的服務(wù)器。

最后階段便是黑客利用竊取來的令牌，通過 GitHub 驗證對儲存庫注入惡意代碼，而且考慮本次攻擊事件規(guī)模龐大，研究人員推斷黑客利用自動化程序，進(jìn)行相關(guān)部署。

安全公司 Checkmarx 提醒開發(fā)者，即便在 GitHub 這樣的可信任平臺，也要謹(jǐn)慎注意代碼的來源。之所以黑客能夠成功發(fā)動攻擊，便是因為許多開發(fā)者在看到 Dependabot 消息時，并不會仔細(xì)檢查實際變更內(nèi)容。

而且由于令牌存取日志僅有企業(yè)賬號可用，因此非企業(yè)用戶也無法確認(rèn)自己的 GitHub 令牌是否被黑客獲取。

研究人員建議，用戶可以考慮采用新版 GitHub 令牌（fine-grained personal access tokens），配置令牌權(quán)限，從而降低當(dāng)令牌泄露時，黑客所能造成的損害。

參考

• Surprise: When Dependabot Contributes Malicious Code  

• Introducing fine-grained personal access tokens for GitHub

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。