GitHub раскрыл сведения о компрометации репозиториев, в которых велась разработка приложений GitHub Desktop и Atom. Среди прочего, атакующим удалось получить доступ к сертификатам, используемым в GitHub Actions при заверении публикуемых релизов GitHub Desktop для macOS и Atom цифровой подписью. Так как ключи были дополнительно зашифрованы с использованием паролей, их использование для вредоносных действий оценивается как маловероятное, тем не менее GitHub принял решение отозвать проблемные сертификаты, что приведёт к неработоспособности некоторых версий GitHub Desktop и Atom, начиная со 2 февраля.
По заверению GitHub атака ограничилась только указанными репозиториями и инфраструктура проекта не пострадала. Доступ был получен с использованием персонального токена (PAT, Personal Access Token), привязанного к учётной записи одного из разработчиков.
Источник: https://www.opennet.ru/opennews/art.shtml?num=58576
(opennet.ru, мини-новости)
[ON] В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom
Модератор: Модераторы разделов
-
rssbot
- Бот
- Сообщения: 6004
- ОС: gnu/linux