GitHub наводнили фейковые коммиты Dependabot, нацеленные на кражу данных

Татьяна Никитина 28 Сентября 2023 - 12:31

Домашние пользователи

CheckMarx

Утечки информации

Умышленные утечки информации

Кража данных

...

GitHub наводнили фейковые коммиты Dependabot, нацеленные на кражу данных

Злоумышленники воруют токены доступа GitHub и публикуют коммиты, якобы сгенерированные Dependabot, с целью внедрения вредоносного кода. Киберкампания стартовала в июле и, по данным Checkmarx, затронула сотни репозиториев.

Имитация fix-сообщений Dependabot создает иллюзию легитимности коммита. Разработчики используют этот GitHub-инструмент управления зависимостями, чтобы автоматизировать выявление и устранение уязвимостей в коде.

Если владелец репозитория примет подобный вклад, в его коде появится файл hook.yml, сливающий секреты проекта на удаленный сервер при каждом push-событии. Более того, ко всем существующим .js-файлам добавится обфусцированная строка, которая при исполнении в браузере создает новый тег script и загружает со стороннего сервера дополнительный сценарий для кражи паролей, вводимых в веб-формы.

Каким образом злоумышленники воруют персональные GitHub-токены, установить не удалось; не исключено, что их извлекают из систем разработчиков с помощью зловреда. Выявить компрометацию ключа доступа трудно: активность по использованию токена не отображается в контрольном журнале аккаунта.

Исследователи полагают, что создание и распространение вредоносных коммитов в рамках данной кампании осуществляется автоматизированными средствами. Большинство жертв — жители Индонезии.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Яков Шпунт 05 Декабря 2025 - 17:16

Домашние пользователи Государство Системы аутентификации

Многие не могут попасть в Госуслуги без MAX

Некоторые пользователи при входе в приложение Госуслуги столкнулись с предложением подключить мессенджер MAX для получения кодов подтверждения. При этом пропустить экран с таким уведомлением невозможно. Судя по всему, новое окно с безальтернативным выбором российского мессенджера появляется у тех, кто ещё не настроил двухфакторную аутентификацию, однако для её изменения всё равно требуется зайти в аккаунт.

На проблему обратило внимание РИА Новости. Один из корреспондентов агентства лично столкнулся с тем, что пропустить экран с предложением использовать MAX для получения кодов подтверждения при входе в приложение невозможно.

Функция получения кодов через MAX появилась в августе 2025 года. Она доступна даже в случаях, когда пользователь не может получить СМС.

Как отмечает портал «Код Дурова», появление экрана с требованием подключить MAX не зависит от того, зарегистрирован ли пользователь Госуслуг в этом мессенджере.

По данным исследования «Кода Дурова», в десктопных версиях браузеров подобное “незакрываемое” окно появляется реже — даже при активации режима «Запросить настольную версию сайта» в мобильном браузере.

Однако этот способ не гарантирует полного обхода проблемы. Альтернативой может стать изменение настроек двухфакторной аутентификации непосредственно в мобильном приложении Госуслуг.

GitHub наводнили фейковые коммиты Dependabot, нацеленные на кражу данных

Читайте также