GitHub a émis un avertissement concernant”l’accès non autorisé à un ensemble de référentiels utilisés dans la planification et le développement de GitHub Desktop et Atom”lors d’un piratage qui a eu lieu en décembre.
Les utilisateurs sont informés pour s’assurer qu’ils installent les dernières mises à jour pour le logiciel concerné, mais il n’y a actuellement aucune suggestion que GitHub.com ait été impacté. Les attaquants ayant volé des certificats de signature de code, GitHub révoque les certificats de certaines versions d’Atom et de GitHub Desktop le 2 février. Les utilisateurs doivent donc mettre à jour avant cette date.
Voir aussi :
Révéler certains détails de l’attaque, Alexis Wales de GitHub déclare: « Un ensemble de certificats de signature de code cryptés a été exfiltré ; cependant, les certificats étaient protégés par mot de passe et nous n’avons aucune preuve d’utilisation malveillante. À titre préventif, nous révoquerons les certificats exposés utilisés pour les applications GitHub Desktop et Atom. La révocation de ces certificats invalidera certaines versions de GitHub Desktop pour Mac et Atom”.
Wales continue :
Le 6 décembre 2022, référentiels de notre atome, de notre bureau et d’autres organisations obsolètes appartenant à GitHub ations ont été clonées par un jeton d’accès personnel (PAT) compromis associé à un compte machine. Une fois détecté le 7 décembre 2022, notre équipe a immédiatement révoqué les informations d’identification compromises et a commencé à enquêter sur l’impact potentiel sur les clients et les systèmes internes. Aucun des référentiels concernés ne contenait de données client.
Cependant, plusieurs certificats de signature de code chiffrés étaient stockés dans ces référentiels pour être utilisés via des actions dans nos flux de travail GitHub Desktop et Atom. Nous n’avons aucune preuve que l’acteur de la menace a pu déchiffrer ou utiliser ces certificats.
GitHub indique que la version suivante de Ces versions de GitHub Desktop pour Mac cessera de fonctionner le 2 février., mais souligne que GitHub Desktop pour Windows n’est pas affecté :
3.1.23.1.13.1.03.0.83.0.73.0.63.0.53.0.43.0.33.0.2
De plus, la société avertit que les versions Atom 1.63. 0 et 1.63.1 cesseront de fonctionner le 2 février, et que pour continuer à utiliser Atom, les utilisateurs devront téléchargez une version précédente d’Atom.
Plus d’informations sont disponibles sur le Blog GitHub.
Crédit image : rafapress/d dépôtsphotos