More

    GitHub potvrđuje napad: krađa certifikata za potpisivanje i opoziv istih

    GitHub je u ponedjeljak potvrdio da su hakeri ukrali tri digitalna certifikata korištena za njihove Desktop i Atom aplikacije tokom sajber napada u decembru 2022. godine.

    Pišući u blog postu, kompanija je također rekla da je nakon istrage nesreće zaključila da nema rizika za usluge GitHub.com i da nema neovlaštenih promjena u projektima.

    “Skup šifriranih certifikata za potpisivanje koda je eksfiltriran, međutim, certifikati su bili zaštićeni lozinkom i nemamo dokaza o malicioznoj upotrebi”, stoji u objavi Alexis Wales, potpredsjednika za sigurnosne operacije GitHub-a.

    “Kao preventivnu mjeru, opozvat ćemo otkrivene certifikate koji se koriste za GitHub Desktop i Atom aplikacije. Opoziv ovih certifikata poništit će neke verzije GitHub Desktop-a za Mac i Atom.”

    Tačnije, nekoliko verzija GitHub Desktopa za Mac između 3.0.2 i 3.1.2 će prestati da radi 2. februara, dok GitHub Desktop za Windows neće biti pogođen. Što se tiče Atom uređivača teksta, verzije 1.63.0 i 1.63.1 će prestati da rade.

    Kako bi nastavili koristiti softverska rješenja, GitHub je pozvao korisnike MacOS-a da nadograde GitHub Desktop verziju na najnoviju verziju. Nasuprot tome, Atom korisnici moraju preuzeti prethodnu verziju programa da bi nastavili raditi na njoj.

    “Sigurnost i pouzdanost GitHub-a i šireg ekosistema programera naš je najveći prioritet”, dodao je Wales. “Preporučujemo korisnicima da preduzmu radnje u skladu s gore navedenim preporukama kako bi nastavili koristiti GitHub Desktop i Atom.”

    Prema Kevinu Boceku, potpredsjedniku sigurnosne strategije i obavještavanja prijetnji u Venafi-u, opoziv certifikata je razuman potez, jer ih hakeri mogu koristiti da zamaskiraju svoj softver kao da dolazi sa GitHub-a.

    „U pogrešnim rukama, ovi identiteti mašina bi se mogli koristiti da se predstavljaju kao pouzdani. Ovo je moćno oružje koje može omogućiti napade u lancu opskrbe na druge programere softvera i nepoznate moguće naknadne ili prošle napade”, rekao je Bocek u svom mejlu za Infosecurity.

    “Da bi se zaštitili od ovakvih događaja, koji postaju sve češći, timovi sigurnosnih inženjera moraju primijeniti kontrolnu tačku za automatizaciju upravljanja identitetom mašine.”

    Objava GitHub-a dolazi nekoliko sedmica nakon što je kompanija predstavila novu funkciju za postavljanje automatskog skeniranja koda u repozitoriju.

    Izvor: Infosecurity Magazine

    Recent Articles

    spot_img

    Related Stories