GitHub Perşembe günü, genel depolara yapılan tüm gönderimler için varsayılan olarak gizli tarama anında gönderim korumasını etkinleştirdiğini duyurdu.
Eric Tooley ve Courtney Claessens, “Bu, halka açık bir depoya yapılan herhangi bir gönderimde desteklenen bir sır tespit edildiğinde, bu sırrı taahhütlerinizden kaldırma veya sırrın güvenli olduğunu düşünüyorsanız bloğu atlama seçeneğine sahip olacağınız anlamına gelir.” söz konusu.
İtme koruması öyleydi ilk pilotluk yapıldı Ağustos 2023’te isteğe bağlı bir özellik olarak sunuldu, ancak Nisan 2022’den bu yana test aşamasında. Mayıs 2023’te genel kullanıma sunuldu.
gizli tarama özellik, birden fazla kişiyi tanımlamak için tasarlanmıştır 200 jeton türü Kötü niyetli aktörler tarafından hileli kullanımlarını önlemek amacıyla 180’den fazla hizmet sağlayıcının kalıpları ve kalıpları.
Bu gelişme, Microsoft yan kuruluşunun gizli taramayı Amazon Web Services (AWS), Microsoft, Google ve Slack gibi popüler hizmetler için geçerlilik kontrollerini içerecek şekilde genişletmesinden yaklaşık beş ay sonra gerçekleşti.
Bu aynı zamanda GitHub’u hedef alan ve kaynak kodu barındırma platformunu, geliştirici cihazlardan şifreleri ve kripto para birimini çalabilecek karmaşık kötü amaçlı yazılımlar içeren binlerce depoyla dolduran devam eden bir “repo kafa karışıklığı” saldırısının keşfinin ardından geldi.
Saldırılar, Phylum tarafından ifşa edilen aynı kötü amaçlı yazılım dağıtım kampanyasının başka bir dalgasını temsil ediyor. Trend Mikro Geçen yıl, klonlanmış, truva atı haline getirilmiş depolarda barındırılan sahte Python paketlerinden yararlanarak, adı verilen hırsız bir kötü amaçlı yazılım dağıtıldı. BlackCap Yakalayıcı.
Apiiro, “Repo kafa karışıklığı saldırıları, insanların yanlışlıkla kötü amaçlı sürümü gerçek sürüm yerine seçmesine dayanıyor ve bazen sosyal mühendislik tekniklerini de kullanıyor.” söz konusu bu hafta bir raporda.