GitHub a révélé lundi que des pirates inconnus avaient réussi à exfiltrer des certificats de signature de code cryptés appartenant à certaines versions des applications GitHub Desktop pour Mac et Atom.
En conséquence, la société est faire le pas de révoquer les certificats exposés par excès de prudence. Les versions suivantes de GitHub Desktop pour Mac ont été invalidées : 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1 et 3.1 .2.
Les versions 1.63.0 et 1.63.1 de 1.63.0 d’Atom devraient également cesser de fonctionner à compter du 2 février 2023, obligeant les utilisateurs à rétrograder vers une la version précédente (1.60.0) d’Atom. GitHub Desktop pour Windows n’est pas affecté.
La filiale appartenant à Microsoft a déclaré avoir détecté un accès non autorisé à un ensemble de référentiels obsolètes utilisés dans la planification et le développement de GitHub Desktop et Atom le 7 décembre 2022.
Les référentiels auraient été clonés la veille par un jeton d’accès personnel compromis (TAPOTER) associé à un compte machine. Aucun des référentiels ne contenait de données client et les informations d’identification compromises ont depuis été révoquées. GitHub n’a pas révélé comment le jeton a été piraté.
« Plusieurs certificats de signature de code chiffrés ont été stockés dans ces référentiels pour être utilisés via des actions dans nos workflows de publication GitHub Desktop et Atom », a déclaré Alexis Wales de GitHub. « Nous n’avons aucune preuve que l’auteur de la menace ait pu déchiffrer ou utiliser ces certificats. »
Il convient de souligner qu’un décryptage réussi des certificats pourrait permettre à un adversaire de signer des applications trojanisées avec ces certificats et de les faire passer pour provenant de GitHub.
Les trois certificats compromis – deux certificats de signature de code Digicert utilisés pour Windows et un certificat Apple Developer ID – doivent être révoqués le 2 février 2023.
La plate-forme d’hébergement de code a également déclaré avoir publié une nouvelle version de l’application Desktop le 4 janvier 2023, qui est signée avec de nouveaux certificats qui n’ont pas été exposés à l’acteur de la menace. Il a en outre souligné qu’aucune modification non autorisée n’avait été apportée au code dans ces référentiels.