GitHub dice que los piratas informáticos clonaron certificados de firma de código en un repositorio violado

ceros y unos que ilustran el código binario

GitHub dijo que intrusos desconocidos obtuvieron acceso no autorizado a algunos de sus repositorios de código y robaron certificados de firma de código para dos de sus aplicaciones de escritorio: Desktop y Atom.

Los certificados de firma de código colocan un sello criptográfico en el código para verificar que fue desarrollado por la organización mencionada, que en este caso es GitHub. Si se descifran, los certificados podrían permitir que un atacante firme versiones no oficiales de las aplicaciones que han sido manipuladas de manera malintencionada y las haga pasar como actualizaciones legítimas de GitHub. Las versiones actuales de Desktop y Atom no se ven afectadas por el robo de credenciales.

“Se exfiltró un conjunto de certificados de firma de código encriptado; sin embargo, los certificados estaban protegidos con contraseña y no tenemos evidencia de uso malicioso”, escribió la compañía en un comunicado. consultivo. “Como medida preventiva, revocaremos los certificados expuestos utilizados para las aplicaciones Atom y GitHub Desktop”.

Las revocaciones, que entrarán en vigencia el jueves, harán que ciertas versiones de las aplicaciones dejen de funcionar. Esas aplicaciones son:

GitHub Desktop para Mac con las siguientes versiones:

  • 3.1.2
  • 3.1.1
  • 3.1.0
  • 3.0.8
  • 3.0.7
  • 3.0.6
  • 3.0.5
  • 3.0.4
  • 3.0.3
  • 3.0.2

Átomo:

Desktop para Windows no se ve afectado.

El 4 de enero, GitHub publicó una nueva versión de la aplicación de escritorio que está firmada con nuevos certificados que no estaban expuestos al actor de amenazas. Los usuarios de Desktop deben actualizar a esta nueva versión.

Un certificado comprometido expiró el 4 de enero y otro expirará el jueves. La revocación de estos certificados brinda protección si se usaron antes de su vencimiento para firmar actualizaciones maliciosas. Sin la revocación, dichas aplicaciones pasarían la verificación de firma. La revocación tiene el efecto de hacer que todo el código falle en la verificación de firma, sin importar cuándo se haya firmado.

Un tercer certificado afectado, un certificado de ID de desarrollador de Apple, no expirará hasta 2027. GitHub también revocará este certificado el jueves. Mientras tanto, GitHub dijo: “Estamos trabajando con Apple para monitorear cualquier archivo ejecutable nuevo (como aplicaciones) firmado con el certificado expuesto”.

El 6 de diciembre, dijo GitHub, el actor de amenazas usó un token de acceso personal (PAT) comprometido para clonar repositorios para Desktop, Atom y otras organizaciones obsoletas propiedad de GitHub. GitHub revocó la PAT un día después de descubrir la brecha. Ninguno de los repositorios clonados contenía datos de clientes. El aviso no explicó cómo se vio comprometida la PAT.

En los repositorios se incluían “varios certificados de firma de código encriptado” que los clientes podían usar cuando trabajaban con Desktop o Atom. No hay evidencia de que el actor de amenazas pueda descifrar o usar ninguno de los certificados.

“Investigamos el contenido de los repositorios comprometidos y no encontramos ningún impacto en GitHub.com ni en ninguna de nuestras otras ofertas fuera de los certificados específicos mencionados anteriormente”, decía el aviso. “No se realizaron cambios no autorizados en el código de estos repositorios”.

Leave a Reply

Your email address will not be published. Required fields are marked *