Secondo i ricercatori di sicurezza IT di Checkmarx, questa tecnica di attacco consente ad hacker di indurre gli sviluppatori a utilizzare codice dannoso. Nel sistema di controllo della versione Gut, i commit sono elementi vitali in quanto registrano ogni modifica apportata ai documenti, la sequenza temporale della modifica e chi ha apportato la modifica.
I ricercatori hanno identificato che un hacker potrebbe manomettere i metadati di commit per far sembrare un repository più vecchio di quello che è. Oppure, possono ingannare gli sviluppatori promuovendo i repository come affidabili poiché i contributori rispettabili li mantengono. È anche possibile falsificare l’identità del committente e attribuire il commit a un account GitHub autentico.
I ricercatori di Checkmarx hanno spiegato nel loro post sul blog che hacker potrebbero manipolare i timestamp dei commit, che sono elencati su GitHub. I falsi commit possono anche essere generati automaticamente e aggiunti al grafico dell’attività GitHub dell’utente, consentendo all’attaccante di farlo apparire attivo sulla piattaforma per molto tempo. Il grafico dell’attività mostra l’attività su repository privati e pubblici, rendendo impossibile screditare i falsi commit.
Con ActivityWatch possiamo tenere sotto controllo il tempo passato con le varie attività al nostro…
Rilasciata la nuova versione di Kaspersky Security for Mail Server che offre funzionalità avanzate per…
Check Point raccomanda l'uso di password forti per proteggere gli utenti dalle minacce informatiche
Le carte trasporto servono a ridurre lo spreco di carta, velocizzare il transito dei passeggeri…
Kaspersky ha sviluppato una propria infrastruttura thin client basata su KasperskyOS per garantire una connessione…
Un semplice ritardo di 600 ms ha portato alla scoperta di una delle più pericolose…
Abbonati ad Hackerjournal per un anno a 33,90 € con digitale in omaggio anziché 46,90 €!
CLICCA QUI PER ABBONARTI!