В ходе атаки на GitHub хакеры заполучили ключи для подписи приложений Desktop и Atom. Ключи были дополнительно зашифрованы с использованием паролей, и их применение маловероятно, однако GitHub начала отзывать проблемные сертификаты.
Это вызовет отключение некоторых версий GitHub Desktop и Atom со 2 февраля.
Хакеры получили доступ к репозиториям с использованием персонального токена, привязанного к учётной записи одного из разработчиков. Как отметили в GitHub, атака затронула только указанные репозитории, а инфраструктура проекта не пострадала.
Взлом обнаружили 7 декабря 2022 года. Тогда же команда платформы отозвала скомпрометированные учётные данные и начала расследование. В GitHub подчеркнули, что ни один из затронутых репозиториев не содержал данных клиентов.
Компания добавила, что сервисы GitHub.com не подвергаются риску из-за этого нарушения безопасности и что в затронутые проекты не было внесено несанкционированных изменений.
2 февраля отзовут три сертификата:
два сертификата Digicert, срок действия которых истёк 4 января и заканчивается 1 февраля;
сертификат Apple Developer ID, который действителен до 2027 года.
Также GitHub удалила две последние версии приложения Atom (1.63.0–1.63.1) со страницы выпусков и отзовёт сертификаты Mac и Windows, используемые для подписи настольных приложений версий 3.0.2–3.1.2 и Atom указанных версий.
«4 января 2023 года мы опубликовали новую версию настольного приложения. Эта версия подписана новыми сертификатами, которые не были раскрыты злоумышленнику», — добавили в GitHub.
Пользователям порекомендовали обновить Desktop и/или понизить версию Atom до 2 февраля, чтобы избежать сбоев в рабочих процессах.
В декабре GitHub объявила, что к концу 2023 года потребует от всех пользователей, добавляющих код на платформу, включить двухфакторную аутентификацию. Одновременно платформа внедряет поддержку бесплатного сканирования открытых секретов, таких как учётные данные и токены аутентификации, во всех общедоступных репозиториях.
