Több Code Signing tanúsítványt is elloptak a GitHub-tól

A Microsoft tulajdonában lévő leányvállalat hétfőn hozta nyilvánosságra, hogy ismeretlen elkövetők sikeresen hozzáfértek a GitHub Mac asztali verziójához és az Atom alkalmazások egyes verzióihoz tartozó titkosított kód aláíró tanúsítványokhoz.

A történtek hatására a cég óvintézkedésként visszavonja a nyilvánosságra került tanúsítványokat, ami a következő verziókat érinti:
GitHub Desktop for Mac: 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1. és a 3.1.2.-es verziók;
Atom: 1.63.0 és a 1.63.1-es verziók, amik várhatóan február 2-tól kerülnek majd leállításra. Az érintett felhasználóknak javasolt egy korábbi verzióra (1.60.0) való átállás.

A Microsoft elmondása szerint még 2022. december 7-én fértek hozzá illetéktelenek a GitHub Desktop, valamint az Atom tervezése és fejlesztése során használt, elavult repositorikhoz, amelyeket egy nappal korábban klónoztak egy gépi fiókhoz tartozó, kompromittált PAT (Personal Access Token) segítségével. Bár a GitHub nem árulta el, hogyan törték fel a tokent, annyi kiderült, hogy az adattárak nem tartalmaztak ügyfél adatokat és a kompromittált hitelesítő adatokat is visszavonták időközben.

Alexis Wale, a GitHub egy munkatársa azt is elárulta, hogy egyelőre nincs bizonyíték arra vonatkozóan, hogy a támadók képesek voltak visszafejteni vagy visszaélni az ellopott tanúsítványokkal, azt viszont érdemes megjegyezni, hogy a sikeres visszafejtés lehetővé teszi a támadók számára, hogy rosszindulatú alkalmazásokat írjanak alá a tanúsítványokkal.

A GitHub hozzátette, hogy 2023. január 4-én került kiadásra az asztali alkalmazás új verziója, ami olyan tanúsítványokkal került aláírásra, amik nem voltak érintettek az adatszivárgásban, kiemelve, hogy ezekben a repositorikban nem történt illetéktelen kódmódosítás sem.

(thehackernews.com)