GitHub a révélé lundi que des pirates inconnus avaient réussi à exfiltrer des certificats de signature de code cryptés appartenant à certaines versions de GitHub Desktop pour les applications Mac et Atom.

En conséquence, la société prend l’initiative de révoquer les certificats exposés par prudence. Les versions suivantes de GitHub Desktop pour Mac ont été invalidées : 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1 et 3.1 .2.

Les versions 1.63.0 et 1.63.1 de 1.63.0 d’Atom devraient également cesser de fonctionner à compter du 2 février 2023, obligeant les utilisateurs à rétrograder vers une version précédente (1.60.0) de l’éditeur de code source. Atom a été officiellement arrêté en décembre 2022. GitHub Desktop pour Windows n’est pas affecté.

La filiale appartenant à Microsoft a déclaré avoir détecté un accès non autorisé à un ensemble de référentiels, y compris ceux d’organisations appartenant à GitHub obsolètes, utilisés dans la planification et le développement de GitHub Desktop et Atom le 7 décembre 2022.

Les référentiels auraient été clonés la veille par un jeton d’accès personnel (PAT) compromis associé à un compte machine. Aucun des référentiels ne contenait de données client et les informations d’identification compromises ont depuis été révoquées. GitHub n’a pas révélé comment le jeton a été piraté.

« Plusieurs certificats de signature de code chiffrés ont été stockés dans ces référentiels pour être utilisés via des actions dans nos workflows de publication GitHub Desktop et Atom », a déclaré Alexis Wales de GitHub. « Nous n’avons aucune preuve que l’auteur de la menace ait pu déchiffrer ou utiliser ces certificats. »

Il convient de souligner qu’un décryptage réussi des certificats pourrait permettre à un adversaire de signer des applications trojanisées avec ces certificats et de les faire passer pour provenant de GitHub.

Les trois certificats compromis – deux certificats de signature de code Digicert utilisés pour Windows et un certificat Apple Developer ID – doivent être révoqués le 2 février 2023.

La plate-forme d’hébergement de code a également déclaré avoir publié une nouvelle version de l’application Desktop le 4 janvier 2023, qui est signée avec de nouveaux certificats qui n’ont pas été exposés à l’acteur de la menace. Il a en outre souligné qu’aucune modification non autorisée n’avait été apportée au code dans ces référentiels.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *