Bulletins

Violation de GitHub : Des pirates ont volé des certificats de signature de code pour GitHub Desktop et Atom

bs1.jpg

GitHub a révélé que des acteurs de la menace inconnus ont réussi à exfiltrer des certificats de signature de code chiffrés relatifs à certaines versions de GitHub Desktop pour Mac et des applications Atom.

En conséquence, la société prend la mesure de révoquer les certificats exposés par excès de prudence. Les versions suivantes de GitHub Desktop pour Mac ont été invalidées : 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1, et 3.1.2.

Les versions 1.63.0 et 1.63.1 de la version 1.63.0 d'Atom devraient également cesser de fonctionner à partir du 2 février 2023, obligeant les utilisateurs à rétrograder vers une version antérieure (1.60.0) de l'éditeur de code source. Atom a été officiellement abandonné en décembre 2022. GitHub Desktop pour Windows n'est pas concerné.

La filiale détenue par Microsoft a déclaré avoir détecté un accès non autorisé à un ensemble de référentiels, y compris ceux des organisations dépréciées appartenant à GitHub, utilisés dans la planification et le développement de GitHub Desktop et Atom le 7 décembre 2022.

Les référentiels auraient été clonés un jour auparavant par un jeton d'accès personnel (PAT) compromis associé à un compte machine. Aucun des référentiels ne contenait de données clients, et les identifiants compromis ont depuis été révoqués. GitHub n'a pas révélé comment le jeton a été violé.

Il convient de souligner qu'un décryptage réussi des certificats pourrait permettre à un adversaire de signer des applications trojanisées avec ces certificats et de les faire passer pour des certificats provenant de GitHub.

Les trois certificats compromis - deux certificats de signature de code Digicert utilisés pour Windows et un certificat Apple Developer ID - doivent être révoqués le 2 février 2023.

La plateforme d'hébergement de code a également déclaré avoir publié une nouvelle version de l'application Desktop le 4 janvier 2023, signée avec de nouveaux certificats qui n'ont pas été exposés à l'acteur menaçant. Elle a également souligné qu'aucune modification non autorisée n'a été apportée au code dans ces référentiels.