Dentro del ecosistema GNU/Linux, pocas herramientas han dejado una huella tan profunda como Git. Aunque el nombre de Linus Torvalds se asocia principalmente con el núcleo de Linux, también desarrolló esta solución de control de versiones que ha alcanzado una notoriedad incluso mayor que el sistema operativo.

Un grupo de investigadores en ciberseguridad ha descubierto una campaña masiva que se aprovecha de configuraciones inseguras de Git, esté es un sistema de control de versiones que permite a los desarrolladores gestionar y coordinar cambios en el código fuente. Los atacantes aprovecharon estas configuraciones para robar credenciales y clonar repositorios privados. El ataque, conocido como EMERALDWHALE, afectó a más de 10.000 repositorios que se encontraban en un servidor de Amazon sin la debida protección. 

GIT está llamando actualizar a la la última versión GIT 2.45.1, lanzada el 14 de mayo de 2024, que aborda cinco vulnerabilidades. Las plataformas afectadas son Windows, MacOS, Linux e incluso *BSD, ¡por lo que estas soluciones son importantes para todos! 

 GitHub dijo que está poniendo a disposición su servicio de escaneo secreto para todos los repositorios públicos en la plataforma de alojamiento de código de forma gratuita.

 Se ha descubierto un fallo de seguridad en Azure App Service de Microsoft que resultó en la exposición del código fuente de las aplicaciones de los clientes escritas en Java, Node, PHP, Python y Ruby durante al menos cuatro años desde septiembre de 2017. Microsoft soluciona error NotLegit que permitía ver el código fuente de las apps utilizando "Local Git" en Azure App Service para Linux  en App escritas PHP, Python, Ruby o Node ya que repositorio local “/.git” era visible públicamente.

Se ha detectado que una vulnerabilidad de ejecución de código remoto crítico (RCE) ahora parcheada en la interfaz web de GitLab se explota activamente en la naturaleza, advierten los investigadores de ciberseguridad, lo que hace que una gran cantidad de instancias de GitLab conectadas a Internet sean susceptibles a ataques.

Un anónimo afirma haber filtrado la totalidad de Twitch, incluyendo su código fuente y la información de pago a los streamers. Se ha publicado un enlace torrent de 125GB en 4chan, en el que el autor afirma que la filtración tiene la intención de «fomentar más interrupciones y competencia en el espacio de transmisión de video en línea» porque «su comunidad es un pozo negro tóxico repugnante». Más de 6.000 repositorios de Git y al parecer no hay datos privados filtrados de los usuarios, excepto sus ganancias, pero no hay  credenciales, ni tarjetas de crédito, ni contraseñas en la filtración.

Investigadores han revelado responsablemente una vulnerabilidad de seguridad al explotar la cual podían acceder a más de 100,000 registros de empleados privados del Programa de las Naciones Unidas para el Medio Ambiente (UNEP). Un servidor git expuesto públicamente permitió el robo de credenciales