GitHub hat bei einem Hack, der im Dezember stattfand, eine Warnung über „unbefugten Zugriff auf eine Reihe von Repositories, die bei der Planung und Entwicklung von GitHub Desktop und Atom verwendet werden“ herausgegeben.
Benutzer werden darauf hingewiesen um sicherzustellen, dass sie die neuesten Updates für die betroffene Software installieren, aber es gibt derzeit keinen Hinweis darauf, dass GitHub.com betroffen ist. Da die Angreifer Codesignaturzertifikate gestohlen haben, widerruft GitHub die Zertifikate für einige Versionen von Atom und GitHub Desktop am 2. Februar, sodass Benutzer vor diesem Datum aktualisieren sollten.
Siehe auch:
Enthüllung einiger Details des Angriffs sagt Alexis Wales von GitHub: „Eine Reihe von verschlüsselten Codesignaturzertifikaten wurden exfiltriert; die Zertifikate waren jedoch passwortgeschützt und wir haben keine Beweise für eine böswillige Verwendung. Als vorbeugende Maßnahme werden wir die verwendeten exponierten Zertifikate widerrufen für die Anwendungen GitHub Desktop und Atom. Durch das Widerrufen dieser Zertifikate werden einige Versionen von GitHub Desktop für Mac und Atom ungültig.”
Wales fährt fort:
Am 6. Dezember 2022 Repositorys von unserem Atom, Desktop und anderen veralteten GitHub-eigenen Organisationen nationen wurden von einem kompromittierten Personal Access Token (PAT) geklont, das einem Maschinenkonto zugeordnet ist. Nach der Entdeckung am 7. Dezember 2022 widerrief unser Team sofort die kompromittierten Anmeldeinformationen und begann mit der Untersuchung möglicher Auswirkungen auf Kunden und interne Systeme. Keines der betroffenen Repositories enthielt Kundendaten.
In diesen Repositories wurden jedoch mehrere verschlüsselte Codesignaturzertifikate zur Verwendung über Aktionen in unseren GitHub Desktop-und Atom-Release-Workflows gespeichert. Wir haben keine Beweise dafür, dass der Angreifer diese Zertifikate entschlüsseln oder verwenden konnte.
GitHub gibt an, dass die folgende Version von Diese Versionen von GitHub Desktop für Mac am 2. Februar nicht mehr funktioniert. weist aber darauf hin, dass GitHub Desktop für Windows nicht betroffen ist:
3.1.23.1.13.1.03.0.83.0.73.0.63.0.53.0.43.0.33.0.2
Zusätzlich warnt das Unternehmen, dass die Atom-Versionen 1.63. 0 und 1.63.1 werden am 2. Februar nicht mehr funktionieren, und dass Benutzer, um Atom weiterhin verwenden zu können, Laden Sie eine frühere Atom-Version herunter.
Weitere Informationen finden Sie unter GitHub-Blog.
Bildnachweis: rafapress/d epositphotos