O GitHub emitiu um aviso sobre”acesso não autorizado a um conjunto de repositórios usados no planejamento e desenvolvimento do GitHub Desktop e Atom”em um hack ocorrido em dezembro.
Os usuários estão sendo avisados para garantir que eles instalem as atualizações mais recentes para o software afetado, mas atualmente não há nenhuma sugestão de que o GitHub.com tenha sido afetado. Com os invasores tendo certificados de assinatura de código roubados, o GitHub está revogando os certificados para algumas versões do Atom e do GitHub Desktop em 2 de fevereiro, portanto, os usuários devem atualizar antes desta data.
Veja também:
Revelando alguns detalhes do ataque, Alexis Wales do GitHub diz:”Um conjunto de certificados de assinatura de código criptografados foi exfiltrado; no entanto, os certificados foram protegidos por senha e não temos evidências de uso malicioso. Como medida preventiva, revogaremos os certificados expostos usados para os aplicativos GitHub Desktop e Atom. A revogação desses certificados invalidará algumas versões do GitHub Desktop para Mac e Atom”.
País de Gales continua:
Em 6 de dezembro de 2022, repositórios de nosso átomo, desktop e outras organizações obsoletas de propriedade do GitHub As ações foram clonadas por um Personal Access Token (PAT) comprometido associado a uma conta de máquina. Uma vez detectado em 7 de dezembro de 2022, nossa equipe revogou imediatamente as credenciais comprometidas e começou a investigar o possível impacto para clientes e sistemas internos. Nenhum dos repositórios afetados continha dados do cliente.
No entanto, vários certificados de assinatura de código criptografados foram armazenados nesses repositórios para uso por meio de ações em nosso GitHub Desktop e fluxos de trabalho de lançamento do Atom. Não temos evidências de que o agente da ameaça foi capaz de descriptografar ou usar esses certificados.
O GitHub diz que a seguinte versão de Essas versões do GitHub Desktop para Mac deixará de funcionar em 2 de fevereiro., mas aponta que o GitHub Desktop para Windows não é afetado:
3.1.23.1.13.1.03.0.83.0.73.0.63.0.53.0.43.0.33.0.2
Além disso, a empresa avisa que as versões 1.63.0.0.0 do Atom. 0 e 1.63.1 deixarão de funcionar em 2 de fevereiro e, para continuar usando o Atom, os usuários precisarão faça o download de uma versão anterior do Atom.
Mais informações estão disponíveis em Blog do GitHub.
Crédito da imagem: rafapress/d epositphotos