Pazartesi günü GitHub, bilinmeyen tehdit aktörlerinin Mac için GitHub Desktop ve Atom uygulamalarının bazı sürümlerine ait şifreli kod imzalama sertifikalarını ele geçirmeyi başardıklarını açıkladı.
Sonuç olarak, şirket tedbir gereği açığa çıkan sertifikaları iptal etme adımını atıyor. Mac için GitHub Desktop’ın aşağıdaki sürümleri geçersiz kılınmıştır: 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1 ve 3.1 .2.
Atom 1.63.0’ın 1.63.0 ve 1.63.1 sürümlerinin de 2 Şubat 2023 itibarıyla çalışmayı durdurması ve kullanıcıların Atom’un önceki bir sürümüne (1.60.0) geçmesini gerektirmesi bekleniyor. Windows için GitHub Desktop etkilenmez.
Microsoft’a ait yan kuruluş, 7 Aralık 2022’de GitHub Desktop ve Atom’un planlanması ve geliştirilmesinde kullanılan bir dizi kullanımdan kaldırılmış depoya yetkisiz erişim tespit ettiğini söyledi.
Depoların bir gün önce bir makine hesabıyla ilişkilendirilmiş güvenliği ihlal edilmiş bir kişisel erişim belirteci (PAT) tarafından klonlandığı söyleniyor. Depoların hiçbiri müşteri verisi içermiyordu ve güvenliği ihlal edilmiş kimlik bilgileri o zamandan beri iptal edildi. GitHub, belirtecin nasıl ihlal edildiğini açıklamadı.
GitHub’dan Alexis Wales, “GitHub Masaüstümüzdeki Eylemler ve Atom yayın iş akışlarımızda kullanılmak üzere bu havuzlarda birkaç şifreli kod imzalama sertifikası saklandı” dedi. “Tehdit aktörünün bu sertifikaların şifresini çözebildiğine veya kullanabileceğine dair hiçbir kanıtımız yok.”
Sertifikaların başarılı bir şekilde çözülmesinin, bir saldırganın truva atına bulaştırılmış uygulamaları bu sertifikalarla imzalamasına ve bunları GitHub’dan geliyormuş gibi göstermesine izin verebileceğini belirtmekte fayda var.
Güvenliği ihlal edilmiş üç sertifika – Windows için kullanılan iki Digicert kod imzalama sertifikası ve bir Apple Geliştirici Kimliği sertifikası – 2 Şubat 2023’te iptal edilecek.
Kod barındırma platformu ayrıca, 4 Ocak 2023’te Masaüstü uygulamasının tehdit aktörüne maruz kalmayan yeni sertifikalarla imzalanmış yeni bir sürümünü yayınladığını söyledi. Ayrıca bu depolardaki kodlarda yetkisiz herhangi bir değişiklik yapılmadığı vurgulandı.