数百个GitHub存储库注入恶意代码呼吁用户使用新版令牌

导读 由网络安全公司发现，GitHub上有数百个储存库遭到黑客注入恶意代码。本次操作除了影响到公开储存库之外，也影响到一些私人储存库。这次的攻…

由网络安全公司发现，GitHub上有数百个储存库遭到黑客注入恶意代码。本次操作除了影响到公开储存库之外，也影响到一些私人储存库。这次的攻击事件主要发生在7月8日至7月11日之间，攻击方向主要分为3个阶段，首先是确定开发者个人令牌，第2个阶段是窃取凭证，最后的阶段则是黑客利用窃取的令牌，通过GitHub验证，对储存库注入恶意代码。

研究人员目前还并未确定黑客是如何获取到开发者凭证的，目前猜测是受害者的电脑被恶意木马感染，然后再由恶意木马将第1阶段的个人令牌上传到攻击者的服务器当中。本次的攻击事件规模非常庞大，相关研究人员推断黑客是利用自动化程序完成的相关部署。平台建议用户使用新的令牌，同时配置令牌权限。