Непознати напаѓачи успеале да ја пробијат заштитата на GitHub и да ги украдат криптираните сертификати за потпишување на кодот за GitHub Desktop и Atom апликацијата. Напаѓачите успеале да се здобијат со пристап до складиштата (repositories) за развој и планирање. Нападот е од декември, но GitHub ги објави деталите оваа недела.
Доколку успееше да ги дешифрира сертификатите, напаѓачот ќе можеше да „потпише“ малициозен софтвер со овие сертификати, и да го маскира како да е издаден од GitHub.
„На 7 декември 2022 година, GitHub откри неовластен пристап до сет складишта што се користат во планирањето и развојот на GitHub Desktop и Atom. По темелна истрага, заклучивме дека нема ризик за услугите на GitHub.com како резултат на овој неовластен пристап и не биле направени неовластени промени на овие проекти.“, пишува Алексис Велс на блогот на GitHub.
Напаѓачот успеал да дојде до складиштата користејќи компромитиран „personal access token“ (PAT). Потоа ги клонирал складиштата за десктоп апликацијата и Atom. Еден ден по откривањето на нападот GitHub го повлекол PAT-токенот кој е користен во нападот. GitHub не откри како напаѓачот успеал да го компромитира PAT-токенот.
Добра вест е дека досега нема никакви показатели дека сертификатите биле користени за било какви малициозни цели. Сепак за да бидат безбедни сертификатите се повлечени. Поради ова некои од верзиите на апликациите ќе престанат да функционираат. Од 2 февруари повеќе нема да функционираат верзиите: 3.1.2, 3.1.1, 3.1.0, 3.0.8, 3.0.7, 3.0.6, 3.0.5, 3.0.4, 3.0.3, 3.0.2 на GitHub Desktop за Mac, и 1.63.1 и 1.63.0 верзиите на Atom. Со оглед на тоа дека нема понатамошен развој на Atom, потенцијалните корисници ќе треба да ја користат претходната, 1.60.0 верзија.
Најновата верзија на GitHub Desktop е објавена на 4 јануари и напаѓачот немал пристап до овие сертификати.
Ниту едно од складиштата не содржи податоци за корисниците, ниту пак корисниците имаат пристап до овие складишта.