GitHub Hackeado nuevamente, certificados de repositorios Atom y Desktop robados

GitHub descubrió el acceso ilegal a una colección de repositorios el 7 de diciembre de 2022. Estos repositorios se usaron en el diseño y desarrollo de Atom y GitHub Desktop. Se violó un token de acceso personal (PAT) que estaba conectado con una cuenta de máquina, lo que condujo a la clonación de los repositorios que pertenecen a nuestras organizaciones atom y de escritorio, así como a los que pertenecen a otros grupos obsoletos propiedad de GitHub. Estos repositorios tenían una cantidad de certificados de firma de código que estaban encriptados y estaban destinados a usarse en la sección Acciones de nuestros procedimientos de lanzamiento de GitHub Desktop y Atom.

Los certificados se usan de una manera muy similar a firmar sus cambios en GitHub para validar que el código en cuestión fue escrito por el autor especificado. Las instalaciones existentes de las aplicaciones Desktop y Atom no son vulnerables a ataques como resultado de estos certificados. Sin embargo si se rompiera el cifrado, el atacante podría firmar programas no autorizados con estos certificados y hacer que pareciera que GitHub fue la empresa que realmente los desarrolló.

El 6 de diciembre de 2022 todavía había dos certificados de firma de código de Digicert que podían usarse para Windows y un certificado de ID de desarrollador de Apple que eran válidos. El 2 de febrero de 2023, GitHub cancelará las tres certificaciones en su poder.

El primer certificado de Digicert no era válido cuando expiró el 4 de enero de 2023, y el segundo dejará de serlo el 1 de febrero del mismo año. Cuando finaliza el período de validez de un certificado, ya no se puede utilizar para firmar código. Tienen previsto revocarlas el 2 de febrero como medida cautelar, pese a que no constituirán un peligro que perdure en el tiempo.
El certificado ID de desarrollador de Apple tiene un período de validez que se extiende hasta 2027. Mientras esperamos que se revoque el certificado el 2 de febrero, estamos colaborando con Apple para buscar nuevos archivos ejecutables (como programas) que puedan haber sido firmado con el certificado comprometido.

Después de realizar una investigación sobre el contenido de los repositorios hackeados, descubrieron que GitHub.com y cualquiera de nuestros otros productos, con la excepción de los certificados particulares mencionados anteriormente, no se vieron afectados de ninguna manera. El código incluido en estos repositorios no ha sido alterado de ninguna forma que no esté aprobada.

La página de lanzamientos se actualizó para reflejar el hecho de que se eliminaron las dos versiones más recientes de la aplicación Atom, 1.63.0-1.63.1. Estas versiones dejarán de funcionar tan pronto como se revoque el certificado, ya que dependen de él.

Van a revocar los certificados de firma de Mac y Windows que se usaron para firmar las versiones 3.0.2-3.1.2 de la aplicación de escritorio y las versiones 1.63.0-1.63.1 de Atom el jueves 2 de febrero de 2023. Una vez que se revoquen los certificados, todas y cada una de las versiones que se firmaron con ellos dejarán de funcionar. Antes del 2 de febrero, se recomienda enfáticamente que actualice Desktop y/o baje la versión de Atom para evitar interrupciones en los procesos en los que confía.

No hay información que sugiera que el autor de la amenaza pudo descifrar o hacer uso de estos certificados, pero la empresa no puede confirmarlo .