Представители GitHub сообщили, что неизвестные злоумышленники получили доступ к некоторым репозиториям компании и похитили зашифрованные сертификаты для подписания кода для приложений Desktop и Atom.
«6 декабря 2022 года репозитории Desktop, Atom и ряда других устаревших организаций, принадлежащих GitHub, были клонированы с помощью скомпрометированного токена личного доступа (Personal Access Token, PAT), связанного с учетной записью на одном из компьютеров, — пишут разработчики. — 7 декабря 2022 года, после обнаружения инцидента, наша команда немедленно отозвала скомпрометированные учетные данные и начала расследование возможного воздействия на клиентов и внутренние системы».
В настоящее время специалисты GitHub не обнаружили никаких доказательств того, что защищенные паролем сертификаты (один сертификат Apple Developer ID и два сертификата подписания кода Digicert, используемые для Windows-приложений) уже используются во вредоносных целях. Также подчеркивается, что ни в одном из затронутых репозиториев не содержалось данных клиентов
В заявлении компании подчеркивается, что сервисами GitHub.com ничто не угрожает, а в затронутые атакой проекты не было внесено никаких несанкционированных изменений. Тем не менее, скомпрометированные сертификаты все равно будут отозваны, а значит, недействительными станут все версии GitHub Desktop для Mac и Atom, подписанные с их использованием.
Таким образом, 2 февраля 2023 года компания отзовет три сертификата:
- два сертификата Digicert, срок действия одного из которых истек 4 января 2023 года, а срок действия второго истекает 1 февраля 2023 года; после истечения срока их больше нельзя будет использовать для подписи кода.
- сертификат Apple Developer ID, действительный до 2027 года.
Инженеры GitHub уже удалили две последние версии приложения Atom (1.63.0–1.63.1) со страницы релизов и отзывают сертификаты для Mac и Windows, использованные для подписания Desktop версий 3.0.2-3.1.2 и Atom версий 1.63.0-1.63.1. После отзыва сертификатов любые версии приложений, подписанные с их помощью, перестанут работать.
«4 января 2023 года мы опубликовали новую версию приложения Desktop. Эта версия подписана новыми сертификатами, которые не были раскрыты злоумышленниками, — сообщают в компании. — Мы настоятельно рекомендуем обновить Desktop и понизить версию Atom до 2 февраля, чтобы избежать сбоев в ваших рабочих процессах».