يُبلغ GitHub عن سرقة شهادة توقيع الرمز في خرق أمني
كشفت GitHub أنه في 7 ديسمبر 2022 ، تمكن المتسللون من الوصول غير المصرح به إلى العديد من مستودعات الرموز الخاصة به وسرقة شهادات توقيع الرمز لاثنين من تطبيقات سطح المكتب الخاصة به:Atomو Desktop. تم استخدام المستودعات في تخطيط وتطوير هذه التطبيقات.
أدى تحقيق آخر إلى استنتاج مفاده أن خدمات GitHub لم تكن في خطر ، ولم يتم إجراء تغييرات غير مصرح بها على هذه المشاريع. على الرغم من أن المهاجمين قاموا بتسلل مجموعة من شهادات توقيع الرمز المشفرة ، إلا أنها كانت محمية بكلمة مرور ، لذلك لا توجد إمكانية للاستخدام الضار.
تم استنساخ المستودعات قبل يوم واحد من خلال PAT (رمز الوصول الشخصي) المخترق المرتبط بحساب الجهاز. لم يكشف GitHub عن كيفية اختراق الرمز المميز. صرح Alexis Wales من GitHub في منشور مدونة :
"تم تخزين العديد من شهادات توقيع التعليمات البرمجية المشفرة في هذه المستودعات لاستخدامها عبر الإجراءات في مهام سير عمل إصدار GitHub Desktop و Atom. ليس لدينا أي دليل على أن الجهة الفاعلة المهددة كانت قادرة على فك تشفير هذه الشهادات أو استخدامها ". جيثب
قرر GitHub إبطال الشهادات المكشوفة المستخدمة لتطبيقات Atom و Desktop. ستكون الإلغاءات سارية يوم الخميس وستمنع بعض الإصدارات المتأثرة من هذه التطبيقات من العمل. سيؤدي إبطال هذه الشهادات إلى جعل بعض إصدارات GitHub Desktop لنظام التشغيل Mac و Atom غير صالحة ؛ ومع ذلك ، لا تتأثر الإصدارات الحالية من Desktop و Atom بهذه السرقة.
لمعلوماتك ، تضع شهادات توقيع الرمز طابعًا مشفرًا على الكود للتحقق من أن المنظمة المسجلة ، أي GitHub ، قد طورته. إذا تم فك تشفيرها ، فستسمح الشهادات للمهاجم بالتوقيع على الإصدار غير الرسمي للتطبيق ، والذي تم العبث به بالفعل وتمريره كتحديثات رسمية من GitHub.
تتضمن التطبيقات المتأثرة الإصدارات التالية من GitHub Desktop لنظام التشغيل Mac:
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
لقد تأثرت الإصدارات التالية من GitHub Atom.
- 1.63.1
- 1.63.0
تجدر الإشارة إلى أن GitHub Desktop for Windows لا يتأثر بسرقة بيانات الاعتماد هذه. في 4 يناير ، نشر GitHub إصدارًا جديدًا من تطبيق سطح المكتب الخاص به ، والذي تم توقيعه بشهادات جديدة لم تتعرض للمهاجمين. يجب على مستخدمي GitHub Desktop الترقية إلى أحدث إصدار.
