Представители GitHub
, что неизвестные злоумышленники получили доступ к некоторым репозиториям компании и похитили зашифрованные сертификаты для подписания кода для приложений Desktop и Atom.
В настоящее время специалисты GitHub не обнаружили никаких доказательств того, что защищенные паролем сертификаты (один сертификат Apple Developer ID и два сертификата подписания кода Digicert, используемые для Windows-приложений) уже используются во вредоносных целях. Также подчеркивается, что ни в одном из затронутых репозиториев не содержалось данных клиентов
В заявлении компании подчеркивается, что сервисами GitHub.com ничто не угрожает, а в затронутые атакой проекты не было внесено никаких несанкционированных изменений. Тем не менее, скомпрометированные сертификаты все равно будут отозваны, а значит, недействительными станут все версии GitHub Desktop для Mac и Atom, подписанные с их использованием.
Таким образом, 2 февраля 2023 года компания отзовет три сертификата:
В настоящее время специалисты GitHub не обнаружили никаких доказательств того, что защищенные паролем сертификаты (один сертификат Apple Developer ID и два сертификата подписания кода Digicert, используемые для Windows-приложений) уже используются во вредоносных целях. Также подчеркивается, что ни в одном из затронутых репозиториев не содержалось данных клиентов
В заявлении компании подчеркивается, что сервисами GitHub.com ничто не угрожает, а в затронутые атакой проекты не было внесено никаких несанкционированных изменений. Тем не менее, скомпрометированные сертификаты все равно будут отозваны, а значит, недействительными станут все версии GitHub Desktop для Mac и Atom, подписанные с их использованием.
Таким образом, 2 февраля 2023 года компания отзовет три сертификата:
- два сертификата Digicert, срок действия одного из которых истек 4 января 2023 года, а срок действия второго истекает 1 февраля 2023 года; после истечения срока их больше нельзя будет использовать для подписи кода.
- сертификат Apple Developer ID, действительный до 2027 года.
