10 月 5 日消息，網(wǎng)絡(luò)安全公司 Checkmarx 日前發(fā)現(xiàn)，GitHub 上有數(shù)百個(gè)儲(chǔ)存庫(kù)遭到黑客注入惡意代碼。據(jù)悉，除了公開(kāi)儲(chǔ)存庫(kù)之外，這次攻擊事件也影響一些私人儲(chǔ)存庫(kù)，因此研究人員推測(cè)攻擊是黑客利用自動(dòng)化腳本進(jìn)行的。

據(jù)悉，這起攻擊事件發(fā)生在今年 7 月 8 日到 7 月 11 日，黑客入侵?jǐn)?shù)百個(gè) GitHub 儲(chǔ)存庫(kù)，并利用 GitHub 的開(kāi)源自動(dòng)化工具 Dependabot 偽造提交信息，試圖掩蓋惡意活動(dòng)，讓開(kāi)發(fā)者以為提交信息是 Dependabot 所為，從而忽視相關(guān)信息。

IT之家經(jīng)過(guò)查詢(xún)得知，攻擊總共可分為三個(gè)階段，首先是確定開(kāi)發(fā)者“個(gè)人令牌”，安全公司研究人員解釋?zhuān)_(kāi)發(fā)者要進(jìn)行 Git 操作，就必須使用個(gè)人令牌設(shè)置開(kāi)發(fā)環(huán)境，而這一令牌會(huì)被儲(chǔ)存在開(kāi)發(fā)者本地，很容易被獲取，由于這些令牌不需要雙重驗(yàn)證，因此黑客很容易就能確定這些令牌。

▲ 圖源 Checkmarx

第二階段則是竊取憑據(jù)，研究人員目前還不確定黑客如何獲取開(kāi)發(fā)者憑據(jù)，但是他們猜測(cè)最有可能的情況，是受害者的電腦被惡意木馬感染，再由惡意木馬將第一階段的“個(gè)人令牌”上傳到攻擊者的服務(wù)器。

▲ 圖源 Checkmarx

最后階段便是黑客利用竊取來(lái)的令牌，通過(guò) GitHub 驗(yàn)證對(duì)儲(chǔ)存庫(kù)注入惡意代碼，而且考慮本次攻擊事件規(guī)模龐大，研究人員推斷黑客利用自動(dòng)化程序，進(jìn)行相關(guān)部署。

安全公司 Checkmarx 提醒開(kāi)發(fā)者，即便在 GitHub 這樣的可信任平臺(tái)，也要謹(jǐn)慎注意代碼的來(lái)源。之所以黑客能夠成功發(fā)動(dòng)攻擊，便是因?yàn)樵S多開(kāi)發(fā)者在看到 Dependabot 消息時(shí)，并不會(huì)仔細(xì)檢查實(shí)際變更內(nèi)容。

而且由于令牌存取日志僅有企業(yè)賬號(hào)可用，因此非企業(yè)用戶(hù)也無(wú)法確認(rèn)自己的 GitHub 令牌是否被黑客獲取。

研究人員建議，用戶(hù)可以考慮采用新版 GitHub 令牌（fine-grained personal access tokens），配置令牌權(quán)限，從而降低當(dāng)令牌泄露時(shí)，黑客所能造成的損害。

▲ 圖源 Checkmarx

▲ 圖源 GitHub

參考

• Surprise: When Dependabot Contributes Malicious Code  
• Introducing fine-grained personal access tokens for GitHub