Ворованные учетные данные от GitHub используются для создания фейковых коммитов Dependabot
Аналитики компании
Checkmarx обнаружили новую вредоносную кампанию на GitHub. Злоумышленники получают доступ к чужим аккаунтам
GitHub и распространяют вредоносные коммиты, замаскированные под активность
Dependabot (автоматической системы, предназначенной для проверки зависимостей проекта на актуальность).
Атаки
злоумышленников начинаются с того, что они каким-то образом получают личные токены доступа к
GitHub, принадлежащие жертвам. Каким образом это происходит, исследователям неизвестно. Но такие токены хранятся локально на компьютерах разработчиков и могут использоваться для входа без двухфакторной аутентификации.
Исследователи предполагают, что кража токенов могла произойти после
заражения разработчиков неким вредоносным ПО, которое, вероятно, проникло на их
устройства через вредоносный пакет.
Использовав токен для входа, с помощью автоматизированных скриптов, атакующие создают поддельные
коммиты с заголовком
«fix», которые якобы сделаны пользователем
dependabot[bot].