GitHub est victime de pirates ; les certificats de signature de code des applications GitHub Desktop et Atom ont été dérobés

GitHub a émis un avertissement concernant "l'accès non autorisé à un ensemble de dépôts utilisés dans la planification et le développement de GitHub Desktop et Atom" dans un piratage qui a eu lieu en décembre.

Il est conseillé aux utilisateurs de s'assurer qu'ils installent les dernières mises à jour des logiciels concernés, mais rien n'indique pour l'instant que GitHub.com ait été touché. Les attaquants ayant volé des certificats de signature de code, GitHub révoque les certificats de certaines versions d'Atom et de GitHub Desktop le 2 février, de sorte que les utilisateurs doivent effectuer les mises à jour avant cette date.

Révélant quelques détails de l'attaque, Alexis Wales de GitHub déclare : "Un ensemble de certificats de signature de code cryptés a été exfiltré ; cependant, les certificats étaient protégés par un mot de passe et nous n'avons aucune preuve d'utilisation malveillante. À titre de mesure préventive, nous allons révoquer les certificats exposés utilisés pour les applications GitHub Desktop et Atom. La révocation de ces certificats invalidera certaines versions de GitHub Desktop pour Mac et Atom".

Wales poursuit :

"Le 6 décembre 2022, les référentiels de nos organisations atom, desktop et autres organisations dépréciées appartenant à GitHub ont été clonés par un jeton d'accès personnel (PAT) compromis associé à un compte machine. Une fois détectée le 7 décembre 2022, notre équipe a immédiatement révoqué les informations d'identification compromises et a commencé à enquêter sur l'impact potentiel sur les clients et les systèmes internes. Aucun des référentiels affectés ne contenait de données clients.

Cependant, plusieurs certificats de signature de code chiffrés étaient stockés dans ces dépôts pour être utilisés via des actions dans nos flux de travail GitHub Desktop et Atom release. Nous n'avons aucune preuve que l'acteur de la menace a pu décrypter ou utiliser ces certificats."

Nom : 1 SSRjtoQ0H2X3SBPOiJ5rZw.jpeg Affichages : 1441 Taille : 11,6 Ko

GitHub indique que la version suivante de Ces versions de GitHub Desktop pour Mac cesseront de fonctionner le 2 février, mais précise que GitHub Desktop pour Windows n'est pas affecté :

3.1.2
3.1.1
3.1.0
3.0.8
3.0.7
3.0.6
3.0.5
3.0.4
3.0.3
3.0.2

En outre, la société prévient que les versions 1.63.0 et 1.63.1 d'Atom cesseront de fonctionner le 2 février, et que pour continuer à utiliser Atom, les utilisateurs devront télécharger une version antérieure d'Atom.

Source : GitHub

Et vous ?

Qu'en pensez-vous ?
Ce piratage de GitHub vous a-t-il affecté ?

Voir aussi :

La plainte accusant l'outil IA Copilot d'avoir « piraté » du code open-source est contestée par GitHub, Microsoft et OpenAI, qui demandent au tribunal de rejeter la proposition de recours collectif

Un développeur porte plainte contre GitHub Copilot, le décrivant comme un produit d'IA qui «s'appuie sur un piratage de logiciels open source sans précédent». Il vise le statut de recours collectif

Des cybercriminels ont piraté les serveurs de GitHub pour le minage de cryptomonnaies, l'exploit pourrait faire tourner jusqu'à 100 mineurs de cryptomonnaies au cours d'une seule attaque