Το GitHub ανακοίνωσε την Πέμπτη ότι ενεργοποιεί την ποεπιλεγμένη Secret Scanning Push Protection για όλα τα ψηφιακά αποθετήρια.
Αυτό σημαίνει ότι όταν ανιχνεύεται ένα υποστηριζόμενο αρχείο σε οποιoδήποτε ψηφιακό αποθετήριο, μπορείτε να επιλέξετε να αποδεσμευτείτε από το αρχείο αυτό, ή αν θεωρείτε ότι είναι ασφαλές, να παρακάμψετε το μπλοκ”, δήλωσαν ο Eric Tooley και η Courtney Claessens.
Διαβάστε σχετικά: Secret Scanning Alerts του GitHub: Διαθέσιμα δωρεάν στα δημόσια repositories
Η δυνατότητα push protection του GitHub εισήχθη σε πιλοτική φάση τον Αύγουστο του 2023, αν και βρίσκεται υπό δοκιμή από τον Απρίλιο του 2022.
Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη
StealC: Κατάχρηση kiosk mode του browser για κλοπή password
Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro
Η λειτουργία Secret Scanning έχει σχεδιαστεί για να ανιχνεύει πάνω από 200 είδη και πρότυπα διακριτικών από περισσότερους από 180 παρόχους υπηρεσιών, με στόχο την αποτροπή κατάχρησής τους από κακόβουλους παράγοντες.
Η ανάπτυξη έφτασε περίπου πέντε μήνες μετά τη διεύρυνση του Secret Scanning από τη θυγατρική της Microsoft, προκειμένου να περιλαμβάνει ελέγχους εγκυρότητας για δημοφιλείς υπηρεσίες όπως το Amazon Web Services (AWS), τη Microsoft, τη Google και το Slack.
Επιπλέον, ακολουθεί η ανακάλυψη μιας συνεχούς επίθεσης με την ονομασία “Repo confusion”, που στοχεύει στο GitHub και επηρεάζει την πλατφόρμα φιλοξενίας πηγαίου κώδικα. Η επίθεση κατακλύζει τα αποθετήρια με χιλιάδες ασαφή, κακόβουλα λογισμικά, τα οποία μπορούν να κλέψουν κωδικούς πρόσβασης και κρυπτονομίσματα από τις συσκευές των προγραμματιστών.
Οι επιθέσεις αντιπροσωπεύουν ένα νέο κύμα από την ίδια εκστρατεία διάδοσης κακόβουλου λογισμικού, το οποίο αποκαλύφθηκε πέρυσι από τη Phylum και τη Trend Micro. Χρησιμοποιούν πλαστά πακέτα Python που φιλοξενούνται σε τροποποιημένα αποθετήρια για να διανείμουν ένα κακόβουλο λογισμικό με την ονομασία BlackCap Grabber.
Δείτε ακόμη: GitHub Copilot Enterprise: Νέος AI Assistant προγραμματισμού
Σύμφωνα με την Apiiro, οι επιθέσεις “Repo confusion” βασίζονται στην εκμετάλλευση της ανθρώπινης προτίμησης για λανθασμένες επιλογές μεταξύ της κακόβουλης έκδοσης και της πραγματικής, ενώ ενίοτε χρησιμοποιούνται και τεχνικές κοινωνικής μηχανικής.
Πηγή: thehackernews.com