گیت هاب امضای گواهی دزدیده شده در حمله سایبری را تایید کرد و آنها را باطل کرد

گیت هاب روز دوشنبه تایید کرد که عوامل تهدید سه گواهی دیجیتال مورد استفاده برای برنامه های دسکتاپ و اتم آن را در جریان یک حمله سایبری در دسامبر 2022 به سرقت برده اند.

این شرکت همچنین در یک پست بلاگ نوشت که پس از بررسی حادثه، به این نتیجه رسید که هیچ خطری برای سرویس‌های GitHub.com و هیچ تغییر غیرمجاز در پروژه‌ها وجود ندارد.

مجموعه‌ای از گواهی‌های امضای کد رمزگذاری شده استخراج شد. با این حال، گواهی‌ها با رمز عبور محافظت می‌شوند و ما هیچ مدرکی دال بر استفاده مخرب نداریم.»

«به عنوان یک اقدام پیشگیرانه، گواهی‌های افشا شده مورد استفاده برای برنامه‌های GitHub Desktop و Atom را باطل می‌کنیم. لغو این گواهی‌ها برخی از نسخه‌های GitHub Desktop را برای Mac و Atom باطل می‌کند.

به طور خاص، چندین نسخه از GitHub Desktop برای Mac بین 3.0.2 و 3.1.2 در 02 فوریه کار خود را متوقف خواهند کرد، در حالی که GitHub Desktop برای ویندوز تحت تأثیر قرار نخواهد گرفت. در مورد ویرایشگر متن Atom، نسخه های 1.63.0 و 1.63.1 کار نمی کنند.

برای ادامه استفاده از راه حل های نرم افزاری، گیت هاب از کاربران مک خواست تا نسخه دسکتاپ گیت هاب را به آخرین نسخه ارتقا دهند. در مقابل، کاربران Atom باید نسخه قبلی برنامه را دانلود کنند تا به کار بر روی آن ادامه دهند.

ولز افزود: “امنیت و قابل اعتماد بودن GitHub و اکوسیستم توسعه دهندگان گسترده تر، بالاترین اولویت ما است.” ما به کاربران توصیه می کنیم برای ادامه استفاده از GitHub Desktop و Atom نسبت به توصیه های بالا اقدام کنند.

به گفته کوین بوچک، معاون استراتژی امنیتی و اطلاعات تهدید در Venafi، لغو گواهینامه ها یک اقدام معقول است، زیرا عوامل تهدید ممکن است از آنها استفاده کنند تا نرم افزار خود را به عنوان منبعی از GitHub نشان دهند.

«در دستان نادرست، این هویت‌های ماشینی می‌توانند مورد اعتماد قرار بگیرند […]. Bocek در ایمیلی به Infosecurity گفت: این سلاح قدرتمندی است که می‌تواند حملات زنجیره تامین را به دیگر توسعه‌دهندگان نرم‌افزار و حملات احتمالی بعدی (یا گذشته) ناشناخته را فعال کند.

تیم‌های مهندسی امنیت برای محافظت در برابر رویدادهایی مانند این، که به طور فزاینده‌ای رایج می‌شوند، باید یک هواپیمای کنترلی برای مدیریت خودکار هویت ماشین مستقر کنند.

افشای GitHub چند هفته پس از معرفی ویژگی جدید این شرکت برای راه اندازی اسکن خودکار کد در مخازن صورت می گیرد.