Твой разраб или малварь на его компе закидывают в репу шифрованный блоб, который благополучно переезжает из твоего "недоверенного" гита в твой "довренный" и деплоится на прод. Вот и скажи, какой ты слой безопасности кроме имитации построил?
Да, это не лечится, но теоретически можно отловить
логирование включите для начала на всех тачках и алертинг на аномалии. Пройдитесь тулзами по репозиториям в поисках ключей, сертификатов и интересностей