GitHub je u ponedjeljak potvrdio da su hakeri ukrali tri digitalna certifikata korištena za njihove Desktop i Atom aplikacije tokom sajber napada u decembru 2022. godine.
Pišući u blog postu, kompanija je također rekla da je nakon istrage nesreće zaključila da nema rizika za usluge GitHub.com i da nema neovlaštenih promjena u projektima.
“Skup šifriranih certifikata za potpisivanje koda je eksfiltriran, međutim, certifikati su bili zaštićeni lozinkom i nemamo dokaza o malicioznoj upotrebi”, stoji u objavi Alexis Wales, potpredsjednika za sigurnosne operacije GitHub-a.
“Kao preventivnu mjeru, opozvat ćemo otkrivene certifikate koji se koriste za GitHub Desktop i Atom aplikacije. Opoziv ovih certifikata poništit će neke verzije GitHub Desktop-a za Mac i Atom.”
Tačnije, nekoliko verzija GitHub Desktopa za Mac između 3.0.2 i 3.1.2 će prestati da radi 2. februara, dok GitHub Desktop za Windows neće biti pogođen. Što se tiče Atom uređivača teksta, verzije 1.63.0 i 1.63.1 će prestati da rade.
Kako bi nastavili koristiti softverska rješenja, GitHub je pozvao korisnike MacOS-a da nadograde GitHub Desktop verziju na najnoviju verziju. Nasuprot tome, Atom korisnici moraju preuzeti prethodnu verziju programa da bi nastavili raditi na njoj.
“Sigurnost i pouzdanost GitHub-a i šireg ekosistema programera naš je najveći prioritet”, dodao je Wales. “Preporučujemo korisnicima da preduzmu radnje u skladu s gore navedenim preporukama kako bi nastavili koristiti GitHub Desktop i Atom.”
Prema Kevinu Boceku, potpredsjedniku sigurnosne strategije i obavještavanja prijetnji u Venafi-u, opoziv certifikata je razuman potez, jer ih hakeri mogu koristiti da zamaskiraju svoj softver kao da dolazi sa GitHub-a.
„U pogrešnim rukama, ovi identiteti mašina bi se mogli koristiti da se predstavljaju kao pouzdani. Ovo je moćno oružje koje može omogućiti napade u lancu opskrbe na druge programere softvera i nepoznate moguće naknadne ili prošle napade”, rekao je Bocek u svom mejlu za Infosecurity.
“Da bi se zaštitili od ovakvih događaja, koji postaju sve češći, timovi sigurnosnih inženjera moraju primijeniti kontrolnu tačku za automatizaciju upravljanja identitetom mašine.”
Objava GitHub-a dolazi nekoliko sedmica nakon što je kompanija predstavila novu funkciju za postavljanje automatskog skeniranja koda u repozitoriju.
Izvor: Infosecurity Magazine