通过 Git 分支名进行注入攻击，真是没想到啊。有人对 Python 包 ultralytics 发了 PR，其中包含如图分支名，当 GitHub 执行 CI 任务时，执行脚本获得仓库密钥，进而在发布包中植入加密货币挖矿程序，以后得当心了！(lwn.net/Articles/10012…)