GitHub отзывает украденные при взломе сертификаты подписи кода Desktop и Atom

Команда GitHub сообщает, что неизвестные злоумышленники украли зашифрованные сертификаты подписи кода для его приложений Desktop и Atom после получения доступа к некоторым репозиториям разработки и планирования выпуска.

На данный момент инженеры GitHub не нашли доказательств того, что защищенные паролем сертификаты (один сертификат Apple Developer ID и два сертификата подписи кода Digicert, используемые для приложений Windows) использовались в злонамеренных целях.

Из сообщения компании

«6 декабря 2022 года репозитории наших атомных, настольных и других устаревших организаций, принадлежащих Github, были клонированы с помощью скомпрометированного токена личного доступа (PAT), связанного с учетной записью компьютера. После обнаружения 7 декабря 2022 года наша команда немедленно отозвала скомпрометированные учетные данные и начала расследование потенциального воздействия на клиентов и внутренние системы. Ни в одном из затронутых репозиториев не было данных клиентов».

В компании добавили, что сервисы GitHub.com не подвергаются риску из-за этого нарушения безопасности и что в затронутые проекты не было внесено несанкционированных изменений.

Однако скомпрометированные сертификаты будут отозваны, что сделает недействительными версии GitHub Desktop для Mac и Atom, подписанные с их использованием.

В GitHub сообщили, что три сертификата будут отозваны 2 февраля 2023 года.

Из сообщения компании:

«Срок действия одного сертификата Digicert истек 4 января 2023 г., а срок действия второго истекает 1 февраля 2023 г. После истечения срока действия эти сертификаты больше нельзя использовать для подписи кода. Хотя они не будут представлять постоянного риска, в качестве превентивной меры мы отзовем их 2 февраля. Сертификат Apple Developer ID действителен до 2027 года. Мы работаем с Apple над отслеживанием любых новых исполняемых файлов (например, приложений), подписанных открытым сертификатом, до тех пор, пока сертификат не будет отозван 2 февраля».

Команда GitHub удалила две последние версии приложения Atom (1.63.0–1.63.1) со страницы выпусков и отзовет сертификаты подписи Mac и Windows, используемые для подписи настольных приложений версий 3.0.2–3.1.2 и Atom версий 1.63.0. -1.63.1 2 февраля.

После отзыва сертификатов все версии приложения, подписанные скомпрометированными сертификатами, больше не будут работать.

Из сообщения компании:

«4 января 2023 года мы опубликовали новую версию настольного приложения. Эта версия подписана новыми сертификатами, которые не были раскрыты злоумышленнику. Мы настоятельно рекомендуем обновить Desktop и/или понизить версию Atom до 2 февраля, чтобы избежать сбоев в ваших рабочих процессах».

Startpack подготовил список сервисов для мониторинга IT-активов и управления ими. Позволяют оперативно вести учёт и проводить инвентаризацию оборудования, отслеживать перемещение техники и расходных материалов, получать оперативную информацию об актуальности лицензий программного обеспечения предприятия. Программные комплексы помогут оперативно развернуть IT-активы компании и наладить связку с подразделениями или удалёнными филиалами.

Статьи по теме