GitHub est victime de pirates ; les certificats de signature de code des applications GitHub Desktop et Atom ont t drobs

des cybercriminels ont vol les informations de connexion de 100 000 comptes d'utilisateurs de NPM, en utilisant des jetons d'utilisateur OAuth



GitHub a mis un avertissement concernant « l’accs non autoris un ensemble de dpts utiliss dans la planification et le dveloppement de GitHub Desktop et Atom » dans un piratage qui a eu lieu en dcembre.

Il est conseill aux utilisateurs de s’assurer qu’ils installent les dernires mises jour des logiciels concerns, mais rien n’indique pour l’instant que GitHub.com ait t touch. Les attaquants ayant vol des certificats de signature de code, GitHub rvoque les certificats de certaines versions d’Atom et de GitHub Desktop le 2 fvrier, de sorte que les utilisateurs doivent effectuer les mises jour avant cette date.

Rvlant quelques dtails de l’attaque, Alexis Wales de GitHub dclare : « Un ensemble de certificats de signature de code crypts a t exfiltr ; cependant, les certificats taient protgs par un mot de passe et nous n’avons aucune preuve d’utilisation malveillante. titre de mesure prventive, nous allons rvoquer les certificats exposs utiliss pour les applications GitHub Desktop et Atom. La rvocation de ces certificats invalidera certaines versions de GitHub Desktop pour Mac et Atom« .

Wales poursuit :

« Le 6 dcembre 2022, les rfrentiels de nos organisations atom, desktop et autres organisations dprcies appartenant GitHub ont t clons par un jeton d’accs personnel (PAT) compromis associ un compte machine. Une fois dtecte le 7 dcembre 2022, notre quipe a immdiatement rvoqu les informations d’identification compromises et a commenc enquter sur l’impact potentiel sur les clients et les systmes internes. Aucun des rfrentiels affects ne contenait de donnes clients.

Cependant, plusieurs certificats de signature de code chiffrs taient stocks dans ces dpts pour tre utiliss via des actions dans nos flux de travail GitHub Desktop et Atom release. Nous n’avons aucune preuve que l’acteur de la menace a pu dcrypter ou utiliser ces certificats. »

GitHub indique que la version suivante de Ces versions de GitHub Desktop pour Mac cesseront de fonctionner le 2 fvrier, mais prcise que GitHub Desktop pour Windows n’est pas affect :

3.1.2

3.1.1

3.1.0

3.0.8

3.0.7

3.0.6

3.0.5

3.0.4

3.0.3

3.0.2

En outre, la socit prvient que les versions 1.63.0 et 1.63.1 d’Atom cesseront de fonctionner le 2 fvrier, et que pour continuer utiliser Atom, les utilisateurs devront tlcharger une version antrieure d’Atom.

Source : GitHub

Et vous ?

Qu’en pensez-vous ?

Ce piratage de GitHub vous a-t-il affect ?

Voir aussi :

La plainte accusant l’outil IA Copilot d’avoir pirat du code open-source est conteste par GitHub, Microsoft et OpenAI, qui demandent au tribunal de rejeter la proposition de recours collectif

Un dveloppeur porte plainte contre GitHub Copilot, le dcrivant comme un produit d’IA qui s’appuie sur un piratage de logiciels open source sans prcdent. Il vise le statut de recours collectif

Des cybercriminels ont pirat les serveurs de GitHub pour le minage de cryptomonnaies, l’exploit pourrait faire tourner jusqu’ 100 mineurs de cryptomonnaies au cours d’une seule attaque



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.