Saldırganlar bir dizi şifreli kod imzalama sertifikasını sızdırmış olsa da bunlar parola korumalıydı, bu nedenle kötü niyetli kullanım olasılığı yok.
GitHub 7 Aralık 2022’de bilgisayar korsanlarının kod depolarının birçoğuna yetkisiz erişim elde ettiğini ve masaüstü uygulamalarından ikisi için kod imzalama sertifikalarını çaldığını ortaya çıkardı: Atom ve Desktop. Bu uygulamaların planlanmasında ve geliştirilmesinde depolardan yararlanılmıştır.
Başka bir inceleme, GitHub’ın hizmetlerinin risk altında olmadığı ve bu projelerde herhangi bir yetkisiz değişiklik yapılmadığı sonucuna vardı. Saldırganlar bir dizi şifreli kod imzalama sertifikasını sızdırmış olsa da bunlar parola korumalıydı, bu nedenle kötü niyetli kullanım olasılığı yok.
bu depolar klonlandı bir makine hesabıyla ilişkilendirilmiş güvenliği ihlal edilmiş bir PAT (kişisel erişim belirteci) tarafından bir gün önce. GitHub, belirtecin nasıl ihlal edildiğini açıklamadı. GitHub’dan Alexis Wales bir açıklamada Blog yazısı:
“GitHub Masaüstü ve Atom sürüm iş akışlarımızdaki Eylemler aracılığıyla kullanılmak üzere bu havuzlarda birkaç şifreli kod imzalama sertifikası saklandı. Tehdit aktörünün bu sertifikaların şifresini çözebildiğine veya kullanabileceğine dair hiçbir kanıtımız yok.”
GitHub
GitHub, Atom ve Masaüstü uygulamaları için kullanılan açık sertifikaları iptal etmeye karar verdi. İptaller bu Perşembe günü geçerli olacak ve bu uygulamaların etkilenen bazı sürümlerinin çalışmasını engelleyecek. Bu sertifikaların iptal edilmesi, Mac ve Atom için GitHub Desktop’ın bazı sürümlerini geçersiz kılacaktır; ancak Desktop ve Atom’un mevcut sürümleri bu hırsızlıktan etkilenmez.
Bilginiz olsun diye söylüyorum, kod imzalama sertifikaları, kayıtlı kuruluşun, yani GitHub’ın kodu geliştirdiğini doğrulamak için kodun üzerine bir kriptografik damga yerleştirir. Şifresi çözülürse, sertifikalar bir saldırganın uygulamanın zaten tahrif edilmiş olan resmi olmayan sürümünü imzalamasına ve bunları GitHub’dan resmi güncellemeler olarak dağıtmasına olanak tanır.
Etkilenen uygulamalar, Mac için GitHub Desktop’ın aşağıdaki sürümlerini içerir:
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
GitHub Atom’un aşağıdaki sürümleri etkilenmiştir.
Windows için GitHub Desktop’ın bu kimlik bilgisi hırsızlığından etkilenmediğini belirtmekte fayda var. 4 Ocak’ta GitHub bir yayın yayınladı. Yeni sürüm Saldırganlara açık olmayan yeni sertifikalarla imzalanan Masaüstü uygulamasından. GitHub Masaüstü kullanıcıları en son sürüme yükseltme yapmalıdır.
Daha Fazla GitHub Güvenlik Haberi
- GitHub: Bilgisayar Korsanları, Kuruluşları Hedeflemek İçin OAuth Erişim Belirteçlerini Çaldı
- GitHub Saldırısı, Bilgisayar Korsanlarının Okta’nın Kaynak Kodunu Çalmasına İzin Verdi
- GitHub, depoları saldırganlara maruz bırakan güvenlik açığını düzeltir
- GitHub Kötü Amaçlı PyPI Paketlerini Görüntü Dosyalarına Yaymak İçin Kötüye Kullanıldı
- Bilgisayar korsanları, sahte GitHub depoları oluşturmak için taahhüt meta verilerini taklit eder