GitHub revoga certificados de assinatura de código roubados em hack

Até agora, o GitHub não encontrou evidências de que os certificados protegidos por senha (um certificado de ID de desenvolvedor da Apple e dois certificados de assinatura de código Digicert usados ​​para aplicativos do Windows) foram usados ​​para fins maliciosos.

“Em 6 de dezembro de 2022, os repositórios de nosso átomo, desktop e outras organizações obsoletas de propriedade do Github foram clonados por um token de acesso pessoal (PAT) comprometido associado a uma conta de máquina”, disse o GitHub .

“Depois de detectado em 7 de dezembro de 2022, nossa equipe revogou imediatamente as credenciais comprometidas e começou a investigar o possível impacto para clientes e sistemas internos. Nenhum dos repositórios afetados continha dados de clientes.”

A empresa acrescentou que não há risco para os serviços do GitHub.com devido a essa violação de segurança e que nenhuma alteração não autorizada foi feita nos projetos afetados.

No entanto, os certificados comprometidos serão revogados para invalidar as versões GitHub Desktop for Mac e Atom assinadas com eles.

O GitHub disse que os três certificados seriam revogados em 2 de fevereiro de 2023:

• Um certificado Digicert expirou em 4 de janeiro de 2023 e o segundo expirará em 1º de fevereiro de 2023. Depois de expirados, esses certificados não podem mais ser usados ​​para assinar código. Embora não representem um risco contínuo, como medida preventiva, iremos revogá-los em 2 de fevereiro.
• O certificado Apple Developer ID é válido até 2027. Estamos trabalhando com a Apple para monitorar novos arquivos executáveis ​​(como aplicativos) assinados com o certificado exposto até que o certificado seja revogado em 2 de fevereiro.

O GitHub removeu as duas versões mais recentes do aplicativo Atom (1.63.0-1.63.1) da página de lançamentos e revogará os certificados de assinatura do Mac e do Windows usados ​​para assinar as versões 3.0.2-3.1.2 do aplicativo Desktop e as versões 1.63.0 do Atom -1.63.1 em 2 de fevereiro.

Depois que os certificados forem revogados, todas as versões de aplicativos assinadas com os certificados comprometidos não funcionarão mais.

“Em 4 de janeiro de 2023, publicamos uma nova versão do aplicativo Desktop. Esta versão é assinada com novos certificados que não foram expostos ao agente da ameaça”, acrescentou o GitHub.

“Recomendamos atualizar o Desktop e/ou  fazer o downgrade do Atom antes de 2 de fevereiro para evitar interrupções em seus fluxos de trabalho.”

Fonte: https://www.bleepingcomputer.com/