O GitHub anunciou na quinta-feira que está habilitando a proteção contra push de verificação secreta por padrão para todos os push para repositórios públicos.
“Isso significa que quando um sigilo suportado for detectado em qualquer envio para um repositório público, você terá a opção de remover o sigilo de seus commits ou, se considerar o sigilo seguro, ignorar o bloqueio”, disseram Eric Tooley e Courtney Claessens. .
A proteção push foi testada pela primeira vez uma vez que um recurso opcional em agosto de 2023, embora esteja em teste desde abril de 2022. Tornou-se disponível para o público universal em maio de 2023.
O recurso de verificação secreta foi projetado para identificar mais de 200 tipos e padrões de tokens de mais de 180 provedores de serviços, a termo de evitar seu uso fraudulento por agentes mal-intencionados.
O desenvolvimento ocorre quase cinco meses depois que a subsidiária da Microsoft expandiu a verificação secreta para incluir verificações de validade para serviços populares uma vez que Amazon Web Services (AWS), Microsoft, Google e Slack.
Ele também segue a invenção de um ataque contínuo de “confusão de repositórios” direcionado ao GitHub que está inundando a plataforma de hospedagem de código-fonte com milhares de repositórios contendo malware ofuscado capaz de roubar senhas e criptomoedas de dispositivos de desenvolvedores.
Os ataques representam outra vaga da mesma campanha de distribuição de malware divulgada pela Phylum e pela Trend Micro no ano pretérito, aproveitando pacotes Python falsos hospedados em repositórios clonados e trojanizados para entregar um malware ladrão chamado BlackCap Grabber.
“Os ataques de confusão de repositórios simplesmente dependem de humanos para escolher erroneamente a versão maliciosa em vez da versão real, às vezes empregando também técnicas de engenharia social”, disse Apiiro em um relatório esta semana.
