消息称数百个GitHub存储库被黑客注入恶意代码，安全公司呼吁用户使用新版令牌

IT之家 10 月 5 日消息，网络安全公司 Checkmarx 日前发现，GitHub 上有数百个储存库遭到黑客注入恶意代码。据悉，除了公开储存库之外，这次攻击事件也影响一些私人储存库，因此研究人员推测攻击是黑客利用自动化脚本进行的。据悉，这起攻击事件发生在今年 7 月 8 日到 7 月 11 日，黑客入侵数百个 GitHub 储存库，并利用 GitHub 的开源自动化工具 Dependabot 伪造提交信息，试图掩盖恶意活动，让开发者以为提交信息是 Dependabot 所为，从而忽视相关信息。IT之家经过查询得知，攻击总共可分为三个阶段，首先是确定开发者“个人令牌”，安全公司研究人员解释，开发者要进行 Git 操作，就必须使用个人令牌设置开发环境，而这一令牌会被储存在开发者本地，很容易被获取，由于这些令牌不需要双重验证，因此黑客很容易就能确定这些令牌。

图源 Checkmarx

第二阶段则是窃取凭据，研究人员目前还不确定黑客如何获取开发者凭据，但是他们猜测最有可能的情况，是受害者的电脑被恶意木马感染，再由恶意木马将第一阶段的“个人令牌”上传到攻击者的服务器。

图源 Checkmarx

最后阶段便是黑客利用窃取来的令牌，通过 GitHub 验证对储存库注入恶意代码，而且考虑本次攻击事件规模庞大，研究人员推断黑客利用自动化程序，进行相关部署。

安全公司 Checkmarx 提醒开发者，即便在 GitHub 这样的可信任平台，也要谨慎注意代码的来源。之所以黑客能够成功发动攻击，便是因为许多开发者在看到 Dependabot 消息时，并不会仔细检查实际变更内容。

而且由于令牌存取日志仅有企业账号可用，因此非企业用户也无法确认自己的 GitHub 令牌是否被黑客获取。

图源 Checkmarx

图源 GitHub

研究人员建议，用户可以考虑采用新版 GitHub 令牌（fine-grained personal access tokens），配置令牌权限，从而降低当令牌泄露时，黑客所能造成的损害。

90后夫妻“自导自演”私房视频牟利，犯法了

近期

内蒙、江西等地公安机关

破获两起制售淫秽物品案

就比较雷人的是……自导自演

小夫妻自制“私房视频”卖钱

1

近日，内蒙古网安部门联合呼伦贝尔牙克石警方成功破获一起制作、出售、传播淫秽物品牟利案件，抓获犯罪嫌疑人2人，查获涉案淫秽图片、视频100余个，经初查涉案资金5万元。

经查，夫妻二人都是90后。2020年以来，两人借助互联网平台开展“探店”“推广”等业务，经营的自媒体账号在本地已小有名气，收入稳定。

然而，业余时间里，他们还发展了一个“特殊”爱好，就是拍一些“私房”照片和视频进行售卖。

一开始，他们只是在网上和陌生人分享这些照片和视频，后来发现自己的“作品”很受欢迎，不仅收获了一批“忠实粉丝”，甚至还有网友会发来红包索要“最新视频”。

在利益的驱使下，两人更加“明目张胆”，开始自行拍摄、制作淫秽物品，利用境外即时通讯软件、网站、论坛等渠道发布、引流，并将拍摄的淫秽照片和视频明码标价在网上出售，牟取钱财。

呼伦贝尔牙克石警方发现线索后，立即开展侦查，对涉及售卖淫秽视频的关联账号进行深入分析，在掌握了充分的证据后，迅速展开了抓捕行动，成功将两名犯罪嫌疑人抓获。

目前二人均被依法采取刑事拘留措施，案件还在进一步办理中。

2

约人“自导自演”卖视频挣钱

无独有偶，9月1日，江西赣州信丰网警接到群众举报：有人在网上收费传播自制淫秽视频。

经查，犯罪嫌疑人卢某通过约失足妇女至县城某处拍摄淫秽视频，并将“自导自演”拍摄的淫秽视频上传至境外某色情网站。

截至案发，卢某上传淫秽视频及图片共计120次，非法获利1.7万余元。

目前，卢某因涉嫌传播淫秽物品牟利罪被信丰警方依法刑事拘留。

9月12日，信丰网警还破获了另一起类似案件。犯罪嫌疑人王某、王某贤二人合谋，由王某自制淫秽图片，王某贤则将淫秽图片上传至境外某色情网站谋利。

截至案发，相关图片总浏览量达23万余次，二人非法获利6000余元，目前也已被依法刑事拘留。

《中华人民共和国刑法》第三百六十三条第一款【制作、复制、出版、贩卖、传播淫秽物品牟利罪】

以牟利为目的，制作、复制、出版、贩卖、传播淫秽物品的，处三年以下有期徒刑、拘役或者管制，并处罚金;情节严重的，处三年以上十年以下有期徒刑，并处罚金;情节特别严重的，处十年以上有期徒刑或者无期徒刑，并处罚金或者没收财产。

文章来源 ：IT之家、公安部网安局

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

web渗透入门基础篇|充电

‍

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍