GitHub ゼロデイ: 35,000 リポジトリの侵害から誤警報まで from securityboulevard.com
security summary
GitHub はセキュリティに関する問題に手を出さず、侵害されたユーザーを含め、攻撃が発生したとされるすべての悪意のあるコードと PR を迅速に削除しました。
このリポジトリの場合、これは特に邪悪な戦術でした。
これにより、ユーザーはコードの実際の作成者について簡単に混乱する可能性があります。
この方法では、ボットを使用してコミット署名なしでリポジトリを識別し (これは実際には GitHub のデフォルト オプションです)、リポジトリへのコミット時にコミットの名前と作成者を偽装することで、このセキュリティ ギャップを悪用します。
「Git Scare」攻撃では、悪意のあるコードをコミットしたすべてのユーザーが、実際のリポジトリから実際の (よく知られている) ユーザーになりすました。
CI/CD、ソース コード管理 (SCM)、およびコード リポジトリは、組織内で最も脆弱なセキュリティ資産になっています。
コメント