Executando verificação de segurança...
5
gugadeschamps
1 min de leitura ·

Nova técnica manipula metadados e induz desenvolvedores a utilizar códigos vulneráveis no GitHub

Agentes maliciosos estão se aproveitando da possibilidade de falsificar a adição de colaboradores e forjar datas de commits no GitHub para adulterar o histórico de atividade em projetos de código aberto.

O GitHub permite que usuários assinem criptograficamente seus commits, mas não alerta sobre outros commits realizados em seu nome.

A Checkmarx sugere que desenvolvedores passem a verificar regularmente se foram listados inadvertidamente como colaboradores em repositórios suspeitos.

Fonte: https://checkmarx.com/blog/unverified-commits-are-you-unknowingly-trusting-attackers-code/

Carregando publicação patrocinada...
2
rafael

Depois de ler esse artigo, até fui ver no GitHub como fazer para assinar os commits e usar SSH para conexão 😅

Imagino que isso seja um problema maior para aqueles que são contribuidores open source mais famosos, mas infelizmente esse tipo de vulnerabilidade permite que um repositório tenha diversos contribuidores (falsos) em várias datas diferentes, fazendo com que ele pareça um repositório legítimo 🙁

A Checkmarx parece encontrar várias coisas interessantes, já é a terceira publicação que vejo aqui no TabNews com as fontes deles. As outras duas foram: