Ngày 31 tháng 1 năm 2023Ravie LakshmananSự cố bảo mật / Mã hóa
GitHub vào thứ Hai đã tiết lộ rằng các tác nhân đe dọa không xác định đã quản lý để lấy cắp chứng chỉ ký mã được mã hóa liên quan đến một số phiên bản của ứng dụng GitHub Desktop dành cho Mac và Atom.
Do đó, công ty đang thực hiện bước thu hồi các chứng chỉ bị lộ vì thận trọng. Các phiên bản sau của GitHub Desktop dành cho Mac đã bị vô hiệu hóa: 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1 và 3.1 .2.
Các phiên bản 1.63.0 và 1.63.1 của 1.63.0 của Atom cũng dự kiến sẽ ngừng hoạt động kể từ ngày 2 tháng 2 năm 2023, yêu cầu người dùng hạ cấp xuống phiên bản trước đó (1.60.0) của trình chỉnh sửa mã nguồn. Atom đã chính thức ngừng hoạt động vào tháng 12 năm 2022. GitHub Desktop cho Windows không bị ảnh hưởng.
Công ty con thuộc sở hữu của microsoft cho biết họ đã phát hiện truy cập trái phép vào một tập hợp các kho lưu trữ, bao gồm cả những kho lưu trữ từ các tổ chức thuộc sở hữu của GitHub đã ngừng hoạt động, được sử dụng trong quá trình lập kế hoạch và phát triển GitHub Desktop và Atom vào ngày 7 tháng 12 năm 2022.
Các kho lưu trữ được cho là đã được sao chép một ngày trước đó bởi mã thông báo truy cập cá nhân (PAT) bị xâm phạm được liên kết với tài khoản máy. Không có kho lưu trữ nào chứa dữ liệu khách hàng và thông tin đăng nhập bị xâm phạm đã bị thu hồi. GitHub không tiết lộ cách mã thông báo bị vi phạm.
“Một số chứng chỉ ký mã được mã hóa đã được lưu trữ trong các kho lưu trữ này để sử dụng thông qua các Hành động trong quy trình phát hành GitHub Desktop và Atom của chúng tôi,” Alexis Wales của GitHub cho biết. “Chúng tôi không có bằng chứng cho thấy tác nhân đe dọa có thể giải mã hoặc sử dụng các chứng chỉ này.”
Cần chỉ ra rằng việc giải mã thành công các chứng chỉ có thể cho phép kẻ thù ký các ứng dụng bị nhiễm trojan bằng các chứng chỉ này và coi chúng là có nguồn gốc từ GitHub.
Ba chứng chỉ bị xâm phạm – hai chứng chỉ ký mã Digicert được sử dụng cho Windows và một chứng chỉ ID nhà phát triển của Apple – sẽ bị thu hồi vào ngày 2 tháng 2 năm 2023.
Nền tảng lưu trữ mã cũng cho biết họ đã phát hành phiên bản mới của ứng dụng Máy tính để bàn vào ngày 4 tháng 1 năm 2023, được ký bằng các chứng chỉ mới không tiếp xúc với tác nhân đe dọa. Nó nhấn mạnh thêm rằng không có thay đổi trái phép nào được thực hiện đối với mã trong các kho lưu trữ này.
