Dalış Özeti:
- Şirket Pazartesi günü yaptığı açıklamada, GitHub’ın bir tehdit aktörü tarafından erişilip çalındıktan sonra kod imzalama sertifikalarını sıfırlamayı planladığını söyledi.
- Açık kaynak geliştirme platformu, 7 Aralık 2022’de sertifikaları içeren havuzlara yetkisiz erişim tespit etti. GitHub, Perşembe günü Mac için GitHub Desktop ve kaynak kodu düzenleyicisi Atom’un bazı sürümlerini geçersiz kılacak şekilde açığa çıkan sertifikaları iptal ediyor.
- GitHub güvenlik operasyonlarından sorumlu Başkan Yardımcısı Alexis Wales yaptığı açıklamada, “Bu yetkisiz erişimin GitHub.com hizmetlerine yönelik bir risk oluşturmadığı ve bu projelerde yetkisiz herhangi bir değişiklik yapılmadığı sonucuna vardık” dedi. Blog yazısı. “Sertifikalar parola korumalıydı ve kötü niyetli kullanıma dair hiçbir kanıtımız yok.”
Dalış Bilgisi:
GitHub şifreli kod imzalama sertifikalarının ihlali ve çalınması, Microsoft’a ait şirketi ve bazı müşterilerini etkileyen bir dizi güvenlik olayını ve güvenlik açığını takip eder.
Slack, bu ayın başlarında, bir tehdit aktörünün çalışan jetonlarını çaldığını ve bunları şirketin harici olarak barındırılan GitHub deposuna erişmek için kullandığını söyledi. sızdırılmış özel kod depoları. Okta’nın kaynak kodu depoları şunlardı: erişildi ve kopyalandı Aralık ayında GitHub’da yetkisiz bir tarafça.
Veracode’daki araştırmacılar bu ayın başlarında bir çok sayıda güvenlik açığı ve keşfedilmemiş kusur açık kaynaklı GitHub depolarında. Checkmarx araştırması, bununla ilişkili riskin altını çizdi. sahte GitHub taahhütleri ve bir güvenlik açığı repojacking saldırıları yoluyla istismar edilebilir.
GitHub’a göre, Atom ve Mac için GitHub Desktop depoları, 6 Aralık’ta bir makine hesabıyla ilişkilendirilen güvenliği ihlal edilmiş bir kişisel erişim belirteci tarafından klonlandı. Şirket, 7 Aralık’ta etkinliği tespit ettikten sonra güvenliği ihlal edilmiş kimlik bilgilerini iptal etti.
Galler, depoların müşteri verilerini içermediğini ve “tehdit aktörünün bu sertifikaların şifresini çözebildiğine veya kullanabileceğine dair hiçbir kanıtımız olmadığını” söyledi.
“Ancak, şifresi çözülürse, tehdit aktörü bu sertifikalarla resmi olmayan uygulamaları imzalayabilir ve resmi olarak GitHub tarafından oluşturulmuş gibi davranabilir.”
GitHub, daha fazla yorum talebine yanıt vermedi.
GitHub, tüm kullanıcıları Mac için Masaüstü sürümlerini güncellemeye ve kesintileri önlemek için Perşembe gününden önce Atom sürümünü düşürmeye teşvik ediyor. GitHub, Aralık ayında Atom desteğini sonlandırdı.