GitHub a annoncé jeudi qu’il activait par défaut la protection contre les analyses secrètes pour toutes les poussées vers des référentiels publics.

“Cela signifie que lorsqu’un secret pris en charge est détecté lors d’une poussée vers un référentiel public, vous aurez la possibilité de supprimer le secret de vos commits ou, si vous considérez que le secret est sûr, de contourner le blocage”, ont déclaré Eric Tooley et Courtney Claessens. .

La protection push a été testée pour la première fois en tant que fonctionnalité facultative en août 2023, bien qu’elle soit en test depuis avril 2022. Elle est devenue généralement disponible en mai 2023.

La fonction d’analyse secrète est conçue pour identifier plus de 200 types et modèles de jetons provenant de plus de 180 fournisseurs de services afin d’empêcher leur utilisation frauduleuse par des acteurs malveillants.

Ce développement intervient près de cinq mois après que la filiale de Microsoft a étendu l’analyse des secrets pour inclure les contrôles de validité des services populaires tels qu’Amazon Web Services (AWS), Microsoft, Google et Slack.

Cela fait également suite à la découverte d’une attaque de « confusion de repo » ciblant GitHub qui inonde la plate-forme d’hébergement de code source avec des milliers de référentiels contenant des logiciels malveillants obscurcis capables de voler des mots de passe et des crypto-monnaies sur les appareils des développeurs.

Les attaques représentent une autre vague de la même campagne de distribution de logiciels malveillants qui a été révélée par Phylum et Trend Micro l’année dernière, exploitant de faux packages Python hébergés sur des référentiels clonés et trojanisés pour diffuser un malware voleur appelé BlackCap Grabber .

“Les attaques de confusion sur les dépôts reposent simplement sur le fait que les humains choisissent par erreur la version malveillante plutôt que la vraie, en utilisant parfois également des techniques d’ingénierie sociale”, a déclaré Apiiro dans un rapport cette semaine.