Представители GitHub сообщили, что неизвестные злоумышленники получили доступ к некоторым репозиториям компании и похитили зашифрованные сертификаты для подписания кода для приложений Desktop и Atom.

«6 декабря 2022 года репозитории Desktop, Atom и ряда других устаревших организаций, принадлежащих GitHub, были клонированы с помощью скомпрометированного токена личного доступа (Personal Access Token, PAT), связанного с учетной записью на одном из компьютеров, — пишут разработчики. — 7 декабря 2022 года, после обнаружения инцидента, наша команда немедленно отозвала скомпрометированные учетные данные и начала расследование возможного воздействия на клиентов и внутренние системы».

В настоящее время специалисты GitHub не обнаружили никаких доказательств того, что защищенные паролем сертификаты (один сертификат Apple Developer ID и два сертификата подписания кода Digicert, используемые для Windows-приложений) уже используются во вредоносных целях. Также подчеркивается, что ни в одном из затронутых репозиториев не содержалось данных клиентов

В заявлении компании подчеркивается, что сервисами GitHub.com ничто не угрожает, а в затронутые атакой проекты не было внесено никаких несанкционированных изменений. Тем не менее, скомпрометированные сертификаты все равно будут отозваны, а значит, недействительными станут все версии GitHub Desktop для Mac и Atom, подписанные с их использованием.

Таким образом, 2 февраля 2023 года компания отзовет три сертификата:

  • два сертификата Digicert, срок действия одного из которых истек 4 января 2023 года, а срок действия второго истекает 1 февраля 2023 года; после истечения срока их больше нельзя будет использовать для подписи кода.
  • сертификат Apple Developer ID, действительный до 2027 года.

Инженеры GitHub уже удалили две последние версии приложения Atom (1.63.0–1.63.1) со страницы релизов и отзывают сертификаты для Mac и Windows, использованные для подписания Desktop версий 3.0.2-3.1.2 и Atom версий 1.63.0-1.63.1. После отзыва сертификатов любые версии приложений, подписанные с их помощью, перестанут работать.

«4 января 2023 года мы опубликовали новую версию приложения Desktop. Эта версия подписана новыми сертификатами, которые не были раскрыты злоумышленниками, — сообщают в компании. — Мы настоятельно рекомендуем  обновить Desktop  и понизить версию Atom  до 2 февраля, чтобы избежать сбоев в ваших рабочих процессах».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии