أخبار التقنية

يقول GitHub إن المتسللين استنسخوا شهادات توقيع الرمز في مستودع تم اختراقه


قال GitHub إن متسللين غير معروفين حصلوا على وصول غير مصرح به إلى بعض مستودعات الرموز الخاصة به وسرقوا شهادات توقيع الرمز لاثنين من تطبيقات سطح المكتب: Desktop و Atom.

تضع شهادات التوقيع على الرمز طابعًا مشفرًا على الرمز للتحقق من أنه تم تطويره بواسطة المؤسسة المدرجة ، والتي هي في هذه الحالة GitHub. إذا تم فك تشفير الشهادات ، فقد تسمح للمهاجمين بالتوقيع على إصدارات غير رسمية من التطبيقات التي تم العبث بها بشكل ضار وتمريرها كتحديثات مشروعة من GitHub. لا تتأثر الإصدارات الحالية من Desktop و Atom بسرقة بيانات الاعتماد.

“تم استخراج مجموعة من شهادات توقيع التعليمات البرمجية المشفرة ؛ ومع ذلك ، كانت الشهادات محمية بكلمة مرور وليس لدينا أي دليل على الاستخدام الضار ، “كتبت الشركة في استشاري. “كإجراء وقائي ، سنلغي الشهادات المكشوفة المستخدمة لتطبيقات GitHub Desktop و Atom.”

ستؤدي الإلغاءات ، التي ستصبح سارية يوم الخميس ، إلى توقف إصدارات معينة من التطبيقات عن العمل. هذه التطبيقات هي:

GitHub Desktop لنظام التشغيل Mac بالإصدارات التالية:

  • 3.1.2
  • 3.1.1
  • 3.1.0
  • 3.0.8
  • 3.0.7
  • 3.0.6
  • 3.0.5
  • 3.0.4
  • 3.0.3
  • 3.0.2

ذرة:

لا يتأثر سطح المكتب لنظام التشغيل Windows.

في 4 يناير ، نشر GitHub إصدارًا جديدًا من تطبيق سطح المكتب تم توقيعه بشهادات جديدة لم يتعرض لها ممثل التهديد. يجب على مستخدمي سطح المكتب التحديث إلى هذا الإصدار الجديد.

انتهت صلاحية إحدى الشهادات المخترقة في 4 كانون الثاني (يناير) ، ومن المقرر أن تنتهي صلاحية أخرى يوم الخميس. يوفر إبطال هذه الشهادات الحماية إذا تم استخدامها قبل انتهاء الصلاحية لتوقيع تحديثات ضارة. بدون الإلغاء ، ستجتاز هذه التطبيقات فحص التوقيع. يؤدي الإلغاء إلى جعل جميع التعليمات البرمجية تفشل في فحص التوقيع ، بغض النظر عن تاريخ التوقيع عليها.

الشهادة الثالثة المتأثرة ، وهي شهادة معرف مطور Apple ، لم يتم تعيينها لتنتهي صلاحيتها حتى عام 2027. وستلغي GitHub هذه الشهادة يوم الخميس أيضًا. في غضون ذلك ، قال GitHub: “نحن نعمل مع Apple لمراقبة أي ملفات قابلة للتنفيذ جديدة (مثل التطبيقات) موقعة بالشهادة المكشوفة.”

في 6 كانون الأول (ديسمبر) ، قال GitHub ، استخدم ممثل التهديد رمز وصول شخصي مخترق (PAT) لاستنساخ مستودعات سطح المكتب و Atom وغيرها من المنظمات المملوكة لشركة GitHub. ألغى GitHub PAT بعد يوم من اكتشاف الخرق. لا يحتوي أي من المستودعات المستنسخة على بيانات العملاء. لم يشرح الاستشاري كيف تم اختراق PAT.

تضمنت المستودعات “العديد من شهادات توقيع التعليمات البرمجية المشفرة” التي يمكن للعملاء استخدامها عند العمل مع Desktop أو Atom. لا يوجد دليل على أن الفاعل المهدد يمكنه فك تشفير أو استخدام أي من الشهادات.

“لقد حققنا في محتويات المستودعات المخترقة ولم نجد أي تأثير على GitHub.com أو أي من عروضنا الأخرى خارج الشهادات المحددة المذكورة أعلاه” ، كما جاء في الاستشارة. لم يتم إجراء أي تغييرات غير مصرح بها على الكود في هذه المستودعات.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

how kelly clarkson lost weight weight loss journey keto gummies reviews alert keto gummies for weight loss peoples keto dr oz diet kelly clarkson approach to weight loss hale and hearty keto gummies reviews new alert does hale and hearty keto gummies work keto gummies review beware keto bhb gummies reviews keto apple cider vinegar keto acv gummies alert keto acv gummies reviews acv keto gummies do keto acv gummies kelly clarkson weight loss scam alert keto acv gummies for weight loss and shark tank reviews 2024 keto gummies beware keto gummies shark tank new keto gummies review hale and hearty keto gummies reviews new alert does hale and hearty keto gummies work kelly clarkson weight loss update before and after photos 2024 transformation on today show kelly clarkson weight loss gummies dr oz analyzes side effects and solutions keto gummies shark tank be careful acv keto gummies shark tank shark tank keto acv biopure keto gummies reviews does biopure keto gummies work biopure acv keto gummies keto acv gummies keto acv gummies the legit keto acv pure slim keto acv gummies kelly clarkson and ozempic dr oz perspective on losing weight