GitHub Dependabot распространяет вредоносный код

Dependabot — автоматический сервис проверки и обновления зависимостей в проектах Github — совсем не так безопасен, как может показаться. Исследователи Checkmarx  сообщили о многочисленных необычных коммитах Dependabot, которые при проверке оказались средствами внедрения вредоносного кода.

Злоумышленники использовали токены жертв для проникновения на Github. Далее они создали поддельные коммиты, то есть запросы, от Dependabot. Последние якобы были стандартными изменениями для актуализации репозиториев, однако по факту таковыми не являлись.

С их помощью в проект на GitHub попадает вредоносный код, который отправляет данные проекта на сервер, подконтрольный злоумышленнику. Далее в репозитории заменяют файлы JavaScript на зараженные вредоносным ПО. Так злоумышленник получает пароли из веб-форм, которые отправляются на тот же сервер.