GitHub は、未知の攻撃者が開発およびリリース計画リポジトリの一部にアクセスした後、デスクトップおよび Atom アプリケーションの暗号化されたコード署名証明書を盗んだと述べています。
これまでのところ、GitHub は、パスワードで保護された証明書 (1 つの Apple Developer ID 証明書と 2 つの Windows アプリに使用される Digicert コード署名証明書) が悪意のある目的で使用されたという証拠を発見していません。
「2022 年 12 月 6 日、Atom、デスクトップ、およびその他の非推奨の Github 所有組織のリポジトリが、マシン アカウントに関連付けられた侵害された Personal Access Token (PAT) によって複製されました」と GitHub は述べています。
「2022 年 12 月 7 日に検出された後、私たちのチームは侵害された資格情報を直ちに取り消し、顧客と内部システムへの潜在的な影響の調査を開始しました。影響を受けたリポジトリには顧客データが含まれていませんでした。」
同社は、このセキュリティ違反による GitHub.com サービスへのリスクはなく、影響を受けたプロジェクトに不正な変更は加えられていないと付け加えました。
ただし、侵害された証明書は取り消され、それらを使用して署名された GitHub Desktop for Mac および Atom バージョンが無効になります。
GitHub は、3 つの証明書が 2023 年 2 月 2 日に取り消されると述べました。
- 1 つの Digicert 証明書は 2023 年 1 月 4 日に期限切れになり、2 つ目の証明書は 2023 年 2 月 1 日に期限切れになります。期限切れになると、これらの証明書を使用してコードに署名することはできなくなります。これらは継続的なリスクをもたらすものではありませんが、予防措置として、2 月 2 日に無効にします。
- Apple Developer ID 証明書は 2027 年まで有効です。2 月 2 日に証明書が失効するまで、Apple と協力して、公開された証明書で署名された新しい実行可能ファイル (アプリケーションなど) を監視しています。
GitHub は、最新の 2 つの Atom アプリ バージョン (1.63.0-1.63.1) をリリース ページから削除し、デスクトップ アプリ バージョン 3.0.2-3.1.2 および Atom バージョン 1.63.0 の署名に使用された Mac および Windows 署名証明書を取り消します。 2 月 2 日に -1.63.1。
証明書が取り消されると、侵害された証明書で署名されたすべてのアプリ バージョンが機能しなくなります。
「2023 年 1 月 4 日に、デスクトップ アプリの新しいバージョンを公開しました。このバージョンは、攻撃者に公開されていない新しい証明書で署名されています」と GitHub は付け加えました。
「ワークフローの中断を避けるために、2 月 2 日までにDesktop を更新するか、Atom をダウングレードすることを強くお勧めします。」
Comments