Png

Ataque Ghostcommit rouba segredos de repositórios usando PNGs

Pesquisadores da Universidade de Missouri-Kansas City desenvolveram um ataque chamado ‘Ghostcommit’, que permite roubar segredos de repositórios de código ao ocultar instruções maliciosas dentro de imagens PNG. O ataque explora uma lacuna na revisão de pull requests, onde 73% dos PRs mesclados em repositórios públicos não recebem revisão humana ou de bots. A técnica consiste em inserir um código que, quando ativado por um agente de codificação, lê o arquivo .env do repositório e extrai chaves secretas, apresentando-as como uma lista de números inofensivos. O ataque foi testado com sucesso em várias ferramentas de codificação, destacando a importância de uma defesa em profundidade, que inclui a análise de imagens e a verificação de comportamentos em tempo de execução. Os pesquisadores também desenvolveram uma ferramenta de defesa que conseguiu detectar a maioria das tentativas de ataque em testes ao vivo. Este incidente revela a vulnerabilidade das práticas atuais de revisão de código e a necessidade urgente de melhorias nas ferramentas de segurança para evitar a exploração de tais falhas.