Сертификаты подписи кода ставят криптографическую печать на код, чтобы убедиться, что он был разработан указанной организацией, в данном случае GitHub. В случае расшифровки сертификаты могут позволить злоумышленнику подписывать неофициальные версии приложений, которые были злонамеренно изменены, и выдавать их за законные обновления с GitHub. Текущие версии Desktop и Atom не подвержены краже учетных данных.
Был украден набор зашифрованных сертификатов подписи кода; однако сертификаты были защищены паролем, и у нас нет доказательств их злонамеренного использования. В качестве превентивной меры мы отзовем открытые сертификаты, используемые для приложений GitHub Desktop и Atom.
Мы исследовали содержимое скомпрометированных репозиториев и не обнаружили никакого влияния на GitHub.com или какие-либо другие наши предложения, кроме конкретных сертификатов, указанных выше. В код этих репозиториев не вносились несанкционированные изменения.
Мы исследовали содержимое скомпрометированных репозиториев и не обнаружили никакого влияния на GitHub.com или какие-либо другие наши предложения, кроме конкретных сертификатов, указанных выше. В код этих репозиториев не вносились несанкционированные изменения.
— официальное сообщение от GitHub.
Отзыв, который вступит в силу в четверг, приведет к тому, что некоторые версии приложений перестанут работать.
При атаке были затронуты GitHub Desktop для Mac со следующими версиями:
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
Атом:
- 1.63.1
- 1.63.0
Ни одна версия приложения для Windows не была затронута.
4 января GitHub опубликовал новую версию настольного приложения, подписанную новыми сертификатами, которые не были подделаны злоумышленником. Пользователи Desktop должны обновиться до новой версии.
Срок действия одного скомпрометированного сертификата истек 4 января, срок действия другого истекает в четверг. Отзыв этих сертификатов обеспечивает защиту, если до истечения срока их действия они использовались для подписи вредоносных обновлений. Без отзыва поддельные приложения прошли бы проверку подписи. Отзыв приводит к тому, что весь код не проходит проверку подписи, независимо от того, когда он был подписан.
Срок действия третьего затронутого сертификата, Apple Developer ID, имеет срок подлинности до 2027 года. GitHub также отзовет этот сертификат в четверг.
6 декабря GitHub сообщил, что злоумышленник использовал скомпрометированный токен личного доступа (PAT) для клонирования репозиториев для Desktop, Atom и других устаревших организаций, принадлежащих GitHub. GitHub отозвал PAT через день после обнаружения нарушения. Ни один из клонированных репозиториев не содержал данных о клиентах. В бюллетене не объяснялось, как был скомпрометирован PAT.
В репозитории были включены несколько зашифрованных сертификатов подписи кода, которые GitHub использует для подписи выпусков приложений Desktop и Atom. Клиенты не имеют прямого доступа. Нет никаких доказательств того, что злоумышленник мог расшифровать или использовать какие-либо сертификаты.
