GitHub a annoncé jeudi qu’il activait par défaut la protection contre les analyses secrètes pour toutes les poussées vers des référentiels publics.
« Cela signifie que lorsqu’un secret pris en charge est détecté lors d’une transmission vers un référentiel public, vous aurez la possibilité de supprimer le secret de vos commits ou, si vous considérez que le secret est sûr, de contourner le blocage », Eric Tooley et Courtney Claessens dit.
Protection contre la poussée était piloté pour la première fois en tant que fonctionnalité opt-in en août 2023, bien qu’elle soit en test depuis avril 2022. Elle est devenue généralement disponible en mai 2023.
Le analyse secrète La fonctionnalité est conçue pour identifier plus 200 types de jetons et modèles de plus de 180 fournisseurs de services afin d’empêcher leur utilisation frauduleuse par des acteurs malveillants.
Ce développement intervient près de cinq mois après que la filiale de Microsoft a étendu l’analyse des secrets pour inclure les contrôles de validité des services populaires tels qu’Amazon Web Services (AWS), Microsoft, Google et Slack.
Cela fait également suite à la découverte d’une attaque de « confusion de repo » ciblant GitHub qui inonde la plate-forme d’hébergement de code source avec des milliers de référentiels contenant des logiciels malveillants obscurcis capables de voler des mots de passe et des crypto-monnaies sur les appareils des développeurs.
Les attaques représentent une autre vague de la même campagne de distribution de logiciels malveillants révélée par Phylum et Tendance Micro l’année dernière, en exploitant de faux packages Python hébergés sur des référentiels clonés et trojanisés pour diffuser un malware voleur appelé Pince à Capuchons Noirs.
« Les attaques de confusion sur les dépôts reposent simplement sur le fait que les humains choisissent par erreur la version malveillante plutôt que la vraie, en utilisant parfois également des techniques d’ingénierie sociale », Apiiro dit dans un rapport cette semaine.