GitLost:公共 GitHub Issue 可诱骗 GitHub 智能体工作流泄露私有仓库数据

GitLost:公共 GitHub Issue 可诱骗 GitHub 智能体工作流泄露私有仓库数据

Noma Security 的研究人员展示,公共 Issue 可诱骗 GitHub 智能体工作流(Agentic Workflows)泄露组织私有仓库的内容。攻击者只需在公共仓库上提交一个看似普通的 Issue,无需窃取凭据,无需访问目标组织。若该组织已授予智能体跨仓库(含私有仓库)的读取权限,Issue 便可诱导其将私有内容写入公共评论。

Read More
休眠 GitHub 账户帮助攻击者在映射企业组织时隐藏行踪

休眠 GitHub 账户帮助攻击者在映射企业组织时隐藏行踪

Datadog Security Labs 发出警告,称存在”多个重叠的攻击活动”,攻击者正通过 GitHub API 系统性地枚举企业的 GitHub 组织、仓库和用户账户。攻击者依赖自动化抓取工具,使用外观合法或自定义的 User-Agent,并利用数年前创建的”幽灵” GitHub 账户,或被泄露的 OAuth 令牌及个人访问令牌(PAT)来实施攻击。

Read More