<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Ghostcommit on BR Defense Center</title><link>https://brdefense.center/tags/ghostcommit/</link><description>Recent content in Ghostcommit on BR Defense Center</description><generator>Hugo</generator><language>pt-br</language><lastBuildDate>Sat, 11 Jul 2026 07:47:40 -0300</lastBuildDate><atom:link href="https://brdefense.center/tags/ghostcommit/index.xml" rel="self" type="application/rss+xml"/><item><title>Ataque Ghostcommit rouba segredos de repositórios usando PNGs</title><link>https://brdefense.center/news/ataque-ghostcommit-rouba-segredos-de-repositorios/</link><pubDate>Sat, 11 Jul 2026 07:47:40 -0300</pubDate><guid>https://brdefense.center/news/ataque-ghostcommit-rouba-segredos-de-repositorios/</guid><description>&lt;p>Pesquisadores da Universidade de Missouri-Kansas City desenvolveram um ataque chamado &amp;lsquo;Ghostcommit&amp;rsquo;, que permite roubar segredos de repositórios de código ao ocultar instruções maliciosas dentro de imagens PNG. O ataque explora uma lacuna na revisão de pull requests, onde 73% dos PRs mesclados em repositórios públicos não recebem revisão humana ou de bots. A técnica consiste em inserir um código que, quando ativado por um agente de codificação, lê o arquivo .env do repositório e extrai chaves secretas, apresentando-as como uma lista de números inofensivos. O ataque foi testado com sucesso em várias ferramentas de codificação, destacando a importância de uma defesa em profundidade, que inclui a análise de imagens e a verificação de comportamentos em tempo de execução. Os pesquisadores também desenvolveram uma ferramenta de defesa que conseguiu detectar a maioria das tentativas de ataque em testes ao vivo. Este incidente revela a vulnerabilidade das práticas atuais de revisão de código e a necessidade urgente de melhorias nas ferramentas de segurança para evitar a exploração de tais falhas.&lt;/p></description></item></channel></rss>