Один из представителей GitHub заявил, что неизвестные злоумышленники украли зашифрованные сертификаты подписи кода для программ GitHub Desktop и Atom Editor после получения доступа к некоторым репозиториям.
До сих пор в GitHub не нашли доказательств того, что сертификаты, защищенные паролем (один сертификат Apple Developer ID и два сертификата подписи кода Digicert, используемые для приложений Windows), использовались в злонамеренных целях.
«6 декабря 2022 года наши репозитории Atom, Desktop и некоторых других программ, принадлежащих GitHub, были скопированы с помощью скомпрометированного токена личного доступа (PAT). После обнаружения 7 декабря 2022 года наша команда немедленно отозвала скомпрометированные учётные данные и начала расследование потенциального воздействия на клиентов и внутренние системы. Как выяснилось, ни один из затронутых репозиториев не содержал данных клиентов», — сообщили в GitHub.
Компания добавила, что нет никакого риска для GitHub.com из-за этого нарушения безопасности. В затронутые проекты не было внесено никаких несанкционированных изменений. Однако скомпрометированные сертификаты будут отозваны, чтобы сделать недействительными подписанные с их помощью версии GitHub Desktop и Atom Editor.
В GitHub заявили, что 3 сертификата будут отозваны 2 февраля 2023 года:
- Срок действия одного сертификата Digicert истек 4 января 2023 года, а срок действия второго истекает 1 февраля 2023 года. По истечении срока действия эти сертификаты больше нельзя использовать для подписи кода. Хотя они не будут представлять риска, в качестве превентивной меры компания отзовёт их 2 февраля.
- Сертификат Apple Developer ID действителен до 2027 года. GitHub тесно взаимодействует с Apple, чтобы отслеживать любые новые исполняемые файлы, подписанные с помощью этого сертификата, до момента его отзыва 2 февраля.
GitHub удалил две последние версии Atom (1.63.0-1.63.1) со страницы релизов и 2 февраля аннулирует сертификаты подписи Mac и Windows, используемые для подписи Desktop 3.0.2-3.1.2 и Atom 1.63.0-1.63.1. После отзыва сертификатов все версии приложений, подписанные скомпрометированными сертификатами, больше не будут функционировать.
«4 января 2023 года мы опубликовали новую версию Desktop. Эта версия подписана новыми сертификатами, которые не были подвержены воздействию злоумышленников. Мы настоятельно рекомендуем обновить Desktop (3.1.5) и / или установить более старую версию Atom (1.60.0) . Это необходимо сделать до 2 февраля, чтобы избежать сбоев в ваших рабочих процессах», — добавили в GitHub.
