GitHub周四宣布,默认情况下,它将为所有推送到公共存储库的推送启用秘密扫描推送保护。
“这意味着,当在任何推送到公共存储库的过程中检测到支持的密钥时,你可以选择从提交中删除密钥,或者,如果你认为密钥安全,可以绕过该块,”Eric Tooley和Courtney Claessens说。
推送保护于 2023 年 8 月首次作为选择加入功能进行试点,尽管它自 2022 年 4 月以来一直在测试中。它于 2023 年 5 月正式发布。
秘密扫描功能旨在识别来自 180 多个服务提供商的 200 多种令牌类型和模式,以防止恶意行为者欺诈性地使用它们。
这一发展是在微软子公司扩大秘密扫描范围以包括对亚马逊网络服务(AWS),Microsoft,Google和Slack等流行服务的有效性检查近五个月后进行的。
在此之前,还发现了针对 GitHub 的持续“存储库混淆”攻击,该攻击正在用数千个存储库淹没源代码托管平台,其中包含能够从开发人员设备窃取密码和加密货币的混淆恶意软件。
这些攻击代表了 Phylum 和 Trend Micro 去年披露的同一恶意软件分发活动的另一波浪潮,利用托管在克隆的木马存储库上的虚假 Python 包来提供名为 BlackCap Grabber 的窃取恶意软件。
“回购混淆攻击只是依靠人类错误地选择恶意版本而不是真实版本,有时也会采用社会工程技术,”Apiiro在本周的一份报告中说。
