Laut GitHub verschafften sich unbekannte Eindringlinge unbefugten Zugriff auf einige seiner Code-Repositories und stahlen Code-Signing-Zertifikate für zwei seiner Desktop-Anwendungen: Desktop und Atom.
Code-Signing-Zertifikate versehen Code mit einem kryptografischen Stempel, um zu bestätigen, dass er von der aufgeführten Organisation entwickelt wurde, in diesem Fall GitHub. Wenn sie entschlüsselt werden, könnten die Zertifikate einem Angreifer ermöglichen, inoffizielle Versionen der Apps zu signieren, die böswillig manipuliert wurden, und sie als legitime Updates von GitHub auszugeben. Aktuelle Versionen von Desktop und Atom sind vom Diebstahl der Anmeldeinformationen nicht betroffen.
„Eine Reihe von verschlüsselten Codesignaturzertifikaten wurden exfiltriert; Die Zertifikate waren jedoch passwortgeschützt und wir haben keine Hinweise auf eine böswillige Verwendung“, schrieb das Unternehmen in einem Advisory. „Als vorbeugende Maßnahme werden wir die exponierten Zertifikate widerrufen, die für die GitHub Desktop- und Atom-Anwendungen verwendet werden.“
Die Sperrungen, die am Donnerstag wirksam werden, führen dazu, dass bestimmte Versionen der Apps nicht mehr funktionieren. Diese Apps sind:
GitHub Desktop für Mac mit den folgenden Versionen:
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
Atom:
Desktop für Windows ist nicht betroffen.
Am 4. Januar veröffentlichte GitHub eine neue Version der Desktop-App, die mit neuen Zertifikaten signiert ist, die dem Bedrohungsakteur nicht ausgesetzt waren. Benutzer von Desktop sollten auf diese neue Version aktualisieren.
Ein kompromittiertes Zertifikat ist am 4. Januar abgelaufen, ein weiteres läuft voraussichtlich am Donnerstag ab. Das Widerrufen dieser Zertifikate bietet Schutz, wenn sie vor Ablauf zum Signieren bösartiger Updates verwendet wurden. Ohne den Widerruf würden solche Apps die Signaturprüfung bestehen. Der Widerruf bewirkt, dass der gesamte Code die Signaturprüfung nicht besteht, unabhängig davon, wann er signiert wurde.
Ein drittes betroffenes Zertifikat, ein Apple Developer ID-Zertifikat, läuft erst 2027 ab. GitHub wird dieses Zertifikat ebenfalls am Donnerstag widerrufen. In der Zwischenzeit sagte GitHub: „Wir arbeiten mit Apple zusammen, um nach neuen ausführbaren Dateien (wie Anwendungen) zu suchen, die mit dem exponierten Zertifikat signiert sind.“
Am 6. Dezember, so GitHub, habe der Angreifer ein kompromittiertes persönliches Zugriffstoken (PAT) verwendet, um Repositories für Desktop, Atom und andere veraltete GitHub-eigene Organisationen zu klonen. GitHub widerrief das PAT einen Tag später, nachdem es die Verletzung entdeckt hatte. Keines der geklonten Repositorys enthielt Kundendaten. Das Advisory erklärte nicht, wie das PAT kompromittiert wurde.
In den Repositorys waren „mehrere verschlüsselte Codesignaturzertifikate“ enthalten, die Kunden bei der Arbeit mit Desktop oder Atom verwenden konnten. Es gibt keine Beweise dafür, dass der Angreifer eines der Zertifikate entschlüsseln oder verwenden könnte.
„Wir haben den Inhalt der kompromittierten Repositories untersucht und keine Auswirkungen auf GitHub.com oder eines unserer anderen Angebote außerhalb der oben genannten spezifischen Zertifikate festgestellt“, heißt es in der Empfehlung. „Es wurden keine unbefugten Änderungen am Code in diesen Repositories vorgenommen.“
:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/grupoclarin/3NJ67RQZ4JC6NDVX24I7ZC5UTM.jpg?fit=300%2C300&ssl=1)
