GitHub reveló el lunes que actores de amenazas desconocidos lograron exfiltrar certificados de firma de código encriptado pertenecientes a algunas versiones de GitHub Desktop para aplicaciones Mac y Atom.
Como resultado, la compañía está dando el paso de revocar los certificados expuestos por precaución. Se invalidaron las siguientes versiones de GitHub Desktop para Mac: 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1 y 3.1 .2.
También se espera que las versiones 1.63.0 y 1.63.1 de 1.63.0 de Atom dejen de funcionar a partir del 2 de febrero de 2023, lo que requiere que los usuarios cambien a una versión anterior (1.60.0) del editor de código fuente. Atom se suspendió oficialmente en diciembre de 2022. GitHub Desktop para Windows no se ve afectado.
La subsidiaria propiedad de Microsoft dijo que detectó acceso no autorizado a un conjunto de repositorios, incluidos los de organizaciones obsoletas propiedad de GitHub, utilizados en la planificación y desarrollo de GitHub Desktop y Atom el 7 de diciembre de 2022.
Se dice que los repositorios fueron clonados un día antes por un token de acceso personal ( PAT ) comprometido asociado con una cuenta de máquina. Ninguno de los repositorios contenía datos de clientes y, desde entonces, las credenciales comprometidas han sido revocadas. GitHub no reveló cómo se violó el token.
«Varios certificados de firma de código encriptado se almacenaron en estos repositorios para su uso a través de Acciones en nuestros flujos de trabajo de lanzamiento de GitHub Desktop y Atom«, dijo Alexis Wales de GitHub. «No tenemos evidencia de que el actor de amenazas haya podido descifrar o usar estos certificados».
Vale la pena señalar que un descifrado exitoso de los certificados podría permitir que un adversario firme aplicaciones troyanizadas con estos certificados y los haga pasar como originarios de GitHub.
Los tres certificados comprometidos, dos certificados de firma de código Digicert utilizados para Windows y un certificado de ID de desarrollador de Apple, se revocarán el 2 de febrero de 2023.
La plataforma de alojamiento de código también dijo que lanzó una nueva versión de la aplicación de escritorio el 4 de enero de 2023, que está firmada con nuevos certificados que no estaban expuestos al actor de amenazas. Además, enfatizó que no se realizaron cambios no autorizados al código en estos repositorios.
Fuente: https://thehackernews.com