Evil Merge: как малварь пряталась в git merge-коммите 3,5 месяца
Чистый PR получает аппрув. Однако после слияния веток в репозитории оседает бэкдор. Он прячется в конфиге за сотнями пробелов, обходит статику и тянет пейлоад прямо из блокчейна TRON. Всё это незаметно работает месяцами при каждом билде.
Это классический evil merge. Git легитимно позволяет редактировать файлы в процессе слияния, создавая коммит с кодом, которого нет ни в одной из родительских веток. Популярные платформы просто не показывают такие diff-ы при ревью.
Изучим механику инъекции и алгоритм её автоматического детекта.
Чистый PR получает аппрув. Однако после слияния веток в репозитории оседает бэкдор. Он прячется в конфиге за сотнями пробелов, обходит статику и тянет пейлоад прямо из блокчейна TRON. Всё это незаметно работает месяцами при каждом билде.
Это классический evil merge. Git легитимно позволяет редактировать файлы в процессе слияния, создавая коммит с кодом, которого нет ни в одной из родительских веток. Популярные платформы просто не показывают такие diff-ы при ревью.
Изучим механику инъекции и алгоритм её автоматического детекта.
🔥 29
😁 7
💯 4
❤ 3
👍 2
🤡 2
4 121 18.3K
Обсуждение 4
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram