GitHub сообщает, что хакеры клонировали сертификаты подписи кода во взломанном репозитории
GitHub заявил, что неизвестные злоумышленники получили несанкционированный доступ к некоторым репозиториям кода и украли сертификаты подписи кода для двух настольных приложений: Desktop и Atom.
Сертификаты подписи кода ставят криптографическую печать на код, чтобы убедиться, что он был разработан указанной организацией, в данном случае GitHub. В случае расшифровки сертификаты могут позволить злоумышленнику подписывать неофициальные версии приложений, которые были злонамеренно изменены, и выдавать их за законные обновления с GitHub. Текущие версии Desktop и Atom не подвержены краже учетных данных.
— официальное сообщение от GitHub.
Отзыв, который вступит в силу в четверг, приведет к тому, что некоторые версии приложений перестанут работать.
При атаке были затронуты GitHub Desktop для Mac со следующими версиями:
Атом:
Ни одна версия приложения для Windows не была затронута.
4 января GitHub опубликовал новую версию настольного приложения, подписанную новыми сертификатами, которые не были подделаны злоумышленником. Пользователи Desktop должны обновиться до новой версии.
Срок действия одного скомпрометированного сертификата истек 4 января, срок действия другого истекает в четверг. Отзыв этих сертификатов обеспечивает защиту, если до истечения срока их действия они использовались для подписи вредоносных обновлений. Без отзыва поддельные приложения прошли бы проверку подписи. Отзыв приводит к тому, что весь код не проходит проверку подписи, независимо от того, когда он был подписан.
Срок действия третьего затронутого сертификата, Apple Developer ID, имеет срок подлинности до 2027 года. GitHub также отзовет этот сертификат в четверг.
6 декабря GitHub сообщил, что злоумышленник использовал скомпрометированный токен личного доступа (PAT) для клонирования репозиториев для Desktop, Atom и других устаревших организаций, принадлежащих GitHub. GitHub отозвал PAT через день после обнаружения нарушения. Ни один из клонированных репозиториев не содержал данных о клиентах. В бюллетене не объяснялось, как был скомпрометирован PAT.
В репозитории были включены несколько зашифрованных сертификатов подписи кода, которые GitHub использует для подписи выпусков приложений Desktop и Atom. Клиенты не имеют прямого доступа. Нет никаких доказательств того, что злоумышленник мог расшифровать или использовать какие-либо сертификаты.
Сертификаты подписи кода ставят криптографическую печать на код, чтобы убедиться, что он был разработан указанной организацией, в данном случае GitHub. В случае расшифровки сертификаты могут позволить злоумышленнику подписывать неофициальные версии приложений, которые были злонамеренно изменены, и выдавать их за законные обновления с GitHub. Текущие версии Desktop и Atom не подвержены краже учетных данных.
Был украден набор зашифрованных сертификатов подписи кода; однако сертификаты были защищены паролем, и у нас нет доказательств их злонамеренного использования. В качестве превентивной меры мы отзовем открытые сертификаты, используемые для приложений GitHub Desktop и Atom.
Мы исследовали содержимое скомпрометированных репозиториев и не обнаружили никакого влияния на GitHub.com или какие-либо другие наши предложения, кроме конкретных сертификатов, указанных выше. В код этих репозиториев не вносились несанкционированные изменения.
Мы исследовали содержимое скомпрометированных репозиториев и не обнаружили никакого влияния на GitHub.com или какие-либо другие наши предложения, кроме конкретных сертификатов, указанных выше. В код этих репозиториев не вносились несанкционированные изменения.
— официальное сообщение от GitHub.
Отзыв, который вступит в силу в четверг, приведет к тому, что некоторые версии приложений перестанут работать.
При атаке были затронуты GitHub Desktop для Mac со следующими версиями:
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
Атом:
- 1.63.1
- 1.63.0
Ни одна версия приложения для Windows не была затронута.
4 января GitHub опубликовал новую версию настольного приложения, подписанную новыми сертификатами, которые не были подделаны злоумышленником. Пользователи Desktop должны обновиться до новой версии.
Срок действия одного скомпрометированного сертификата истек 4 января, срок действия другого истекает в четверг. Отзыв этих сертификатов обеспечивает защиту, если до истечения срока их действия они использовались для подписи вредоносных обновлений. Без отзыва поддельные приложения прошли бы проверку подписи. Отзыв приводит к тому, что весь код не проходит проверку подписи, независимо от того, когда он был подписан.
Срок действия третьего затронутого сертификата, Apple Developer ID, имеет срок подлинности до 2027 года. GitHub также отзовет этот сертификат в четверг.
6 декабря GitHub сообщил, что злоумышленник использовал скомпрометированный токен личного доступа (PAT) для клонирования репозиториев для Desktop, Atom и других устаревших организаций, принадлежащих GitHub. GitHub отозвал PAT через день после обнаружения нарушения. Ни один из клонированных репозиториев не содержал данных о клиентах. В бюллетене не объяснялось, как был скомпрометирован PAT.
В репозитории были включены несколько зашифрованных сертификатов подписи кода, которые GitHub использует для подписи выпусков приложений Desktop и Atom. Клиенты не имеют прямого доступа. Нет никаких доказательств того, что злоумышленник мог расшифровать или использовать какие-либо сертификаты.
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас
Ученые рассказали, что на самом деле означают сны
Похоже, что сонники нас обманывали....
Илон Маск снова в центре крупного скандала
Новые спутники Starlink вызывают ярость у астрономов....
Гладиаторы сражались насмерть. Или нет?
Ответ оказался крайне неоднозначным....
По новой теории человеческое сознание находится сразу во многих скрытых измерениях
Это кажется дичью, но американский физик уверяет, что нашел доказательства....
Самому одинокому в мире дереву из тысячелетней косточки исполнилось 14 лет
Лекарственное дерево вырастили из древнего семени, найденного в пещере....
«Лаванда» и «Евангелие» — ИИ-машины смерти
Как израильская армия использует нейросети для бомбардировок боевиков....
Слепить автомобиль: вязкость нового конструкционного клея в 22 раза превзошла эпоксидку
Новое вещество с добавкой резины сделает транспорт легче и экономичнее....
Эффективность максимальна: паучьи клыки оказались необычайно мощными резаками
Анатомия пауков прокладывает путь для новых режущих инструментов....
Капитан «обреченной экспедиции» был съеден собственным экипажем
Темные факты, хранившиеся почти два века в тайне, начинают постепенно раскрываться....
Как взломать мозг и улучшить память на 80%?
Новая технология существенно изменила жизнь американского журналиста....
Авиакомпании будут замедлять скорость самолетов
Это делается во благо всех людей, но вот получится ли?...
Новая тайна озера Мичиган: на дне найдены десятки гигантских кратеров
Как они появились и что от них ждать, ученые пока не знают....
Волки-убийцы терроризируют индийский штат Уттар-Прадеш
Почему хищники открыли охоту на детей?...
ИИ победил капчу
Доказано тестированием....
Учёные скопировали кишечник акулы, чтобы задать направление жидкостям без клапанов
Самим до такого додуматься было просто невозможно....
Возле светловолосых мумий из китайской пустыни нашли кефирный сыр возрастом 3600 лет
Исследованы геномы молочнокислых бактерий бронзового века....