Impossible de dépendre de Dependabot: Code malveillant contributeur détecté
Impossible de dépendre de Dependabot: Code malveillant contributeur détecté
28 September 2023
Les auteurs de menaces ont méticuleusement fabriqué des messages de validation pour imiter les contributions automatisées de Dependabot pour masquer les activités malveillantes auxquelles ils se livraient. Entre le 8 et le 11 juillet, un acteur menaçant non identifié a commencé à compromettre une multitude de référentiels GitHub, affectant à la fois les secteurs public et privé, avec un nombre important de victimes originaires d'Indonésie. Les attaquants ont habilement manipulé les messages de validation, amenant les développeurs à croire que le vrai Dependabot avait apporté ces contributions.