Site icon Kiber.ba

GitHub potvrđuje napad: krađa certifikata za potpisivanje i opoziv istih

GitHub je u ponedjeljak potvrdio da su hakeri ukrali tri digitalna certifikata korištena za njihove Desktop i Atom aplikacije tokom sajber napada u decembru 2022. godine.

Pišući u blog postu, kompanija je također rekla da je nakon istrage nesreće zaključila da nema rizika za usluge GitHub.com i da nema neovlaštenih promjena u projektima.

“Skup šifriranih certifikata za potpisivanje koda je eksfiltriran, međutim, certifikati su bili zaštićeni lozinkom i nemamo dokaza o malicioznoj upotrebi”, stoji u objavi Alexis Wales, potpredsjednika za sigurnosne operacije GitHub-a.

“Kao preventivnu mjeru, opozvat ćemo otkrivene certifikate koji se koriste za GitHub Desktop i Atom aplikacije. Opoziv ovih certifikata poništit će neke verzije GitHub Desktop-a za Mac i Atom.”

Tačnije, nekoliko verzija GitHub Desktopa za Mac između 3.0.2 i 3.1.2 će prestati da radi 2. februara, dok GitHub Desktop za Windows neće biti pogođen. Što se tiče Atom uređivača teksta, verzije 1.63.0 i 1.63.1 će prestati da rade.

Kako bi nastavili koristiti softverska rješenja, GitHub je pozvao korisnike MacOS-a da nadograde GitHub Desktop verziju na najnoviju verziju. Nasuprot tome, Atom korisnici moraju preuzeti prethodnu verziju programa da bi nastavili raditi na njoj.

“Sigurnost i pouzdanost GitHub-a i šireg ekosistema programera naš je najveći prioritet”, dodao je Wales. “Preporučujemo korisnicima da preduzmu radnje u skladu s gore navedenim preporukama kako bi nastavili koristiti GitHub Desktop i Atom.”

Prema Kevinu Boceku, potpredsjedniku sigurnosne strategije i obavještavanja prijetnji u Venafi-u, opoziv certifikata je razuman potez, jer ih hakeri mogu koristiti da zamaskiraju svoj softver kao da dolazi sa GitHub-a.

„U pogrešnim rukama, ovi identiteti mašina bi se mogli koristiti da se predstavljaju kao pouzdani. Ovo je moćno oružje koje može omogućiti napade u lancu opskrbe na druge programere softvera i nepoznate moguće naknadne ili prošle napade”, rekao je Bocek u svom mejlu za Infosecurity.

“Da bi se zaštitili od ovakvih događaja, koji postaju sve češći, timovi sigurnosnih inženjera moraju primijeniti kontrolnu tačku za automatizaciju upravljanja identitetom mašine.”

Objava GitHub-a dolazi nekoliko sedmica nakon što je kompanija predstavila novu funkciju za postavljanje automatskog skeniranja koda u repozitoriju.

Izvor: Infosecurity Magazine

Exit mobile version