
GitHub сообщает, что хакеры клонировали сертификаты подписи кода во взломанном репозитории
GitHub заявил, что неизвестные злоумышленники получили несанкционированный доступ к некоторым репозиториям кода и украли сертификаты подписи кода для двух настольных приложений: Desktop и Atom.
Сертификаты подписи кода ставят криптографическую печать на код, чтобы убедиться, что он был разработан указанной организацией, в данном случае GitHub. В случае расшифровки сертификаты могут позволить злоумышленнику подписывать неофициальные версии приложений, которые были злонамеренно изменены, и выдавать их за законные обновления с GitHub. Текущие версии Desktop и Atom не подвержены краже учетных данных.
— официальное сообщение от GitHub.
Отзыв, который вступит в силу в четверг, приведет к тому, что некоторые версии приложений перестанут работать.
При атаке были затронуты GitHub Desktop для Mac со следующими версиями:
Атом:
Ни одна версия приложения для Windows не была затронута.
4 января GitHub опубликовал новую версию настольного приложения, подписанную новыми сертификатами, которые не были подделаны злоумышленником. Пользователи Desktop должны обновиться до новой версии.
Срок действия одного скомпрометированного сертификата истек 4 января, срок действия другого истекает в четверг. Отзыв этих сертификатов обеспечивает защиту, если до истечения срока их действия они использовались для подписи вредоносных обновлений. Без отзыва поддельные приложения прошли бы проверку подписи. Отзыв приводит к тому, что весь код не проходит проверку подписи, независимо от того, когда он был подписан.
Срок действия третьего затронутого сертификата, Apple Developer ID, имеет срок подлинности до 2027 года. GitHub также отзовет этот сертификат в четверг.
6 декабря GitHub сообщил, что злоумышленник использовал скомпрометированный токен личного доступа (PAT) для клонирования репозиториев для Desktop, Atom и других устаревших организаций, принадлежащих GitHub. GitHub отозвал PAT через день после обнаружения нарушения. Ни один из клонированных репозиториев не содержал данных о клиентах. В бюллетене не объяснялось, как был скомпрометирован PAT.
В репозитории были включены несколько зашифрованных сертификатов подписи кода, которые GitHub использует для подписи выпусков приложений Desktop и Atom. Клиенты не имеют прямого доступа. Нет никаких доказательств того, что злоумышленник мог расшифровать или использовать какие-либо сертификаты.
Сертификаты подписи кода ставят криптографическую печать на код, чтобы убедиться, что он был разработан указанной организацией, в данном случае GitHub. В случае расшифровки сертификаты могут позволить злоумышленнику подписывать неофициальные версии приложений, которые были злонамеренно изменены, и выдавать их за законные обновления с GitHub. Текущие версии Desktop и Atom не подвержены краже учетных данных.
Был украден набор зашифрованных сертификатов подписи кода; однако сертификаты были защищены паролем, и у нас нет доказательств их злонамеренного использования. В качестве превентивной меры мы отзовем открытые сертификаты, используемые для приложений GitHub Desktop и Atom.
Мы исследовали содержимое скомпрометированных репозиториев и не обнаружили никакого влияния на GitHub.com или какие-либо другие наши предложения, кроме конкретных сертификатов, указанных выше. В код этих репозиториев не вносились несанкционированные изменения.
Мы исследовали содержимое скомпрометированных репозиториев и не обнаружили никакого влияния на GitHub.com или какие-либо другие наши предложения, кроме конкретных сертификатов, указанных выше. В код этих репозиториев не вносились несанкционированные изменения.
— официальное сообщение от GitHub.
Отзыв, который вступит в силу в четверг, приведет к тому, что некоторые версии приложений перестанут работать.
При атаке были затронуты GitHub Desktop для Mac со следующими версиями:
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
Атом:
- 1.63.1
- 1.63.0
Ни одна версия приложения для Windows не была затронута.
4 января GitHub опубликовал новую версию настольного приложения, подписанную новыми сертификатами, которые не были подделаны злоумышленником. Пользователи Desktop должны обновиться до новой версии.
Срок действия одного скомпрометированного сертификата истек 4 января, срок действия другого истекает в четверг. Отзыв этих сертификатов обеспечивает защиту, если до истечения срока их действия они использовались для подписи вредоносных обновлений. Без отзыва поддельные приложения прошли бы проверку подписи. Отзыв приводит к тому, что весь код не проходит проверку подписи, независимо от того, когда он был подписан.
Срок действия третьего затронутого сертификата, Apple Developer ID, имеет срок подлинности до 2027 года. GitHub также отзовет этот сертификат в четверг.
6 декабря GitHub сообщил, что злоумышленник использовал скомпрометированный токен личного доступа (PAT) для клонирования репозиториев для Desktop, Atom и других устаревших организаций, принадлежащих GitHub. GitHub отозвал PAT через день после обнаружения нарушения. Ни один из клонированных репозиториев не содержал данных о клиентах. В бюллетене не объяснялось, как был скомпрометирован PAT.
В репозитории были включены несколько зашифрованных сертификатов подписи кода, которые GitHub использует для подписи выпусков приложений Desktop и Atom. Клиенты не имеют прямого доступа. Нет никаких доказательств того, что злоумышленник мог расшифровать или использовать какие-либо сертификаты.
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас

Прогноз-2025: Кто первым нажмет красную кнопку в Третьей мировой?
Эксперты говорят: ядерная война может начаться гораздо быстрее и внезапнее, чем считалось до этого....

Ученые поражены: у растений есть секретный второй набор корней глубоко под землей
Это не только сенсация в ботанике, это вообще переворот в науке....

Найдено идеальное место для жизни на Марсе
По словам ученых, оно похоже… на нашу Сибирь....

Тайна разгадана: стало известно, почему большинство кошек предпочитают спать строго на одном боку
Оказалось, что это древний защитный механизм, которому миллионы лет....

Уникальная находка в Нидерландах: археологи обнаружили римский лагерь далеко за пределами Империи
Как лидар и искусственный интеллект нашли объект-«невидимку» II века....

Эксперты обнаружили существ, переживших прямой удар астероида, который уничтожил динозавров
Почему конец света — это вовсе не повод, чтобы вымирать?...

Ученые хотят создать хранилище микробов, чтобы те… не вымерли
Звучит кошмарно, но на самом деле от этого зависит судьба всего человечества....