Após informar detalhes do seu desfalque, o GitHub revogou os certificados de assinatura de código roubados no incidente.
O GitHub diz que invasores desconhecidos roubaram certificados criptografados de assinatura de código para seus aplicativos Desktop e Atom depois de obter acesso a alguns de seus repositórios de planejamento de desenvolvimento e lançamento.
Agora, o GitHub revogou os certificados de assinatura de código roubados.
GitHub revogou os certificados de assinatura de código roubados
Até agora, o GitHub não encontrou evidências de que os certificados protegidos por senha (um certificado de ID de desenvolvedor da Apple e dois certificados de assinatura de código Digicert usados para aplicativos do Windows) foram usados para fins maliciosos.
“Em 6 de dezembro de 2022, os repositórios de nosso átomo, desktop e outras organizações obsoletas de propriedade do Github foram clonados por um token de acesso pessoal (PAT) comprometido associado a uma conta de máquina”, disse o GitHub.
“Depois de detectado em 7 de dezembro de 2022, nossa equipe revogou imediatamente as credenciais comprometidas e começou a investigar o possível impacto para clientes e sistemas internos. Nenhum dos repositórios afetados continha dados de clientes.”
A empresa acrescentou que não há risco para os serviços do GitHub.com devido a essa violação de segurança e que nenhuma alteração não autorizada foi feita nos projetos afetados.
No entanto, os certificados comprometidos serão revogados para invalidar as versões GitHub Desktop for Mac e Atom assinadas com eles.
O GitHub disse que os três certificados seriam revogados em 2 de fevereiro de 2023:
- Um certificado Digicert expirou em 4 de janeiro de 2023 e o segundo expirará em 1º de fevereiro de 2023. Depois de expirados, esses certificados não podem mais ser usados para assinar código. Embora não representem um risco contínuo, como medida preventiva, iremos revogá-los em 2 de fevereiro.
- O certificado Apple Developer ID é válido até 2027. Estamos trabalhando com a Apple para monitorar novos arquivos executáveis (como aplicativos) assinados com o certificado exposto até que o certificado seja revogado em 2 de fevereiro.
O GitHub removeu as duas versões mais recentes do aplicativo Atom (1.63.0-1.63.1) da página de lançamentos e revogará os certificados de assinatura do Mac e do Windows usados para assinar as versões 3.0.2-3.1.2 do aplicativo Desktop e as versões 1.63.0 do Atom -1.63.1 em 2 de fevereiro.
Depois que os certificados forem revogados, todas as versões de aplicativos assinadas com os certificados comprometidos não funcionarão mais.
“Em 4 de janeiro de 2023, publicamos uma nova versão do aplicativo Desktop. Esta versão é assinada com novos certificados que não foram expostos ao agente da ameaça”, acrescentou o GitHub.
“Recomendamos atualizar o Desktop e/ou fazer o downgrade do Atom antes de 2 de fevereiro para evitar interrupções em seus fluxos de trabalho.”