Представители GitHub сообщили, что неизвестные злоумышленники получили доступ к некоторым репозиториям компании и похитили зашифрованные сертификаты для подписания кода для приложений Desktop и Atom.
«6 декабря 2022 года репозитории Desktop, Atom и ряда других устаревших организаций, принадлежащих GitHub, были клонированы с помощью скомпрометированного токена личного доступа (Personal Access Token, PAT), связанного с учетной записью на одном из компьютеров, — пишут разработчики. — 7 декабря 2022 года, после обнаружения инцидента, наша команда немедленно отозвала скомпрометированные учетные данные и начала расследование возможного воздействия на клиентов и внутренние системы».
В настоящее время специалисты GitHub не обнаружили никаких доказательств того, что защищенные паролем сертификаты (один сертификат Apple Developer ID и два сертификата подписания кода Digicert, используемые для Windows-приложений) уже используются во вредоносных целях. Также подчеркивается, что ни в одном из затронутых репозиториев не содержалось данных клиентов
В заявлении компании подчеркивается, что сервисами GitHub.com ничто не угрожает, а в затронутые атакой проекты не было внесено никаких несанкционированных изменений. Тем не менее, скомпрометированные сертификаты все равно будут отозваны, а значит, недействительными станут все версии GitHub Desktop для Mac и Atom, подписанные с их использованием.
Таким образом, 2 февраля 2023 года компания отзовет три сертификата:
два сертификата Digicert, срок действия одного из которых истек 4 января 2023 года, а срок действия второго истекает 1 февраля 2023 года; после истечения срока их больше нельзя будет использовать для подписи кода.
сертификат Apple Developer ID, действительный до 2027 года.
Инженеры GitHub уже удалили две последние версии приложения Atom (1.63.0–1.63.1) со страницы релизов и отзывают сертификаты для Mac и Windows, использованные для подписания Desktop версий 3.0.2-3.1.2 и Atom версий 1.63.0-1.63.1. После отзыва сертификатов любые версии приложений, подписанные с их помощью, перестанут работать.
«4 января 2023 года мы опубликовали новую версию приложения Desktop. Эта версия подписана новыми сертификатами, которые не были раскрыты злоумышленниками, — сообщают в компании. — Мы настоятельно рекомендуем обновить Desktop и понизить версию Atom до 2 февраля, чтобы избежать сбоев в ваших рабочих процессах».
