No se puede Depender de Dependabot: Código Malicioso Contribuyente encontrado
No se puede Depender de Dependabot: Código Malicioso Contribuyente encontrado
28 September 2023
Los actores de amenazas fabricaron meticulosamente mensajes de confirmación para imitar las contribuciones automatizadas de Dependabot para enmascarar las actividades malévolas en las que se estaban entregando. Entre el 8 y el 11 de julio, un actor de amenazas no identificado comenzó a comprometer una multitud de repositorios de GitHub, afectando tanto al sector público como al privado, con un número significativo de víctimas originarias de Indonesia. Los atacantes manipularon hábilmente los mensajes de confirmación, lo que llevó a los desarrolladores a creer que el Dependabot real había hecho estas contribuciones.