Um aviso foi emitido por pesquisadores sobre um novo método de ataque à cadeia de suprimentos no qual os hackers utilizam metadados de confirmação falsos para legitimar arquivos maliciosos do GitHub.

Os commits são componentes essenciais no sistema GitHub e possuem um hash ou ID exclusivo. Eles registram todas as alterações feitas nos documentos, a linha do tempo da alteração e quem fez a alteração.

Os agentes de ameaças podem adulterar os metadados de confirmação para fazer com que os repositórios pareçam relevantes e atualizados. É possível falsificar o committer e vincular o commit a uma conta legítima do GitHub.

Commits falsos podem ser gerados automaticamente e adicionados ao gráfico de atividade do GitHub do usuário, fingindo que estão ativos na plataforma de hospedagem de código há muito tempo. Metadados falsos induzem os desenvolvedores a usar o código que normalmente evitariam, o que leva os agentes de ameaças a ganhar legitimidade.

Para fornecer segurança, os pesquisadores da Checkmarx recomendaram que os desenvolvedores assinem seus commits.