قال GitHub إن متسللين غير معروفين حصلوا على وصول غير مصرح به إلى بعض مستودعات الرموز الخاصة به وسرقوا شهادات توقيع الرمز لاثنين من تطبيقات سطح المكتب: Desktop و Atom.
تضع شهادات التوقيع على الرمز طابعًا مشفرًا على الرمز للتحقق من أنه تم تطويره بواسطة المؤسسة المدرجة ، والتي هي في هذه الحالة GitHub. إذا تم فك تشفير الشهادات ، فقد تسمح للمهاجمين بالتوقيع على إصدارات غير رسمية من التطبيقات التي تم العبث بها بشكل ضار وتمريرها كتحديثات مشروعة من GitHub. لا تتأثر الإصدارات الحالية من Desktop و Atom بسرقة بيانات الاعتماد.
“تم استخراج مجموعة من شهادات توقيع التعليمات البرمجية المشفرة ؛ ومع ذلك ، كانت الشهادات محمية بكلمة مرور وليس لدينا أي دليل على الاستخدام الضار ، “كتبت الشركة في استشاري. “كإجراء وقائي ، سنلغي الشهادات المكشوفة المستخدمة لتطبيقات GitHub Desktop و Atom.”
ستؤدي الإلغاءات ، التي ستصبح سارية يوم الخميس ، إلى توقف إصدارات معينة من التطبيقات عن العمل. هذه التطبيقات هي:
GitHub Desktop لنظام التشغيل Mac بالإصدارات التالية:
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
ذرة:
لا يتأثر سطح المكتب لنظام التشغيل Windows.
في 4 يناير ، نشر GitHub إصدارًا جديدًا من تطبيق سطح المكتب تم توقيعه بشهادات جديدة لم يتعرض لها ممثل التهديد. يجب على مستخدمي سطح المكتب التحديث إلى هذا الإصدار الجديد.
انتهت صلاحية إحدى الشهادات المخترقة في 4 كانون الثاني (يناير) ، ومن المقرر أن تنتهي صلاحية أخرى يوم الخميس. يوفر إبطال هذه الشهادات الحماية إذا تم استخدامها قبل انتهاء الصلاحية لتوقيع تحديثات ضارة. بدون الإلغاء ، ستجتاز هذه التطبيقات فحص التوقيع. يؤدي الإلغاء إلى جعل جميع التعليمات البرمجية تفشل في فحص التوقيع ، بغض النظر عن تاريخ التوقيع عليها.
الشهادة الثالثة المتأثرة ، وهي شهادة معرف مطور Apple ، لم يتم تعيينها لتنتهي صلاحيتها حتى عام 2027. وستلغي GitHub هذه الشهادة يوم الخميس أيضًا. في غضون ذلك ، قال GitHub: “نحن نعمل مع Apple لمراقبة أي ملفات قابلة للتنفيذ جديدة (مثل التطبيقات) موقعة بالشهادة المكشوفة.”
في 6 كانون الأول (ديسمبر) ، قال GitHub ، استخدم ممثل التهديد رمز وصول شخصي مخترق (PAT) لاستنساخ مستودعات سطح المكتب و Atom وغيرها من المنظمات المملوكة لشركة GitHub. ألغى GitHub PAT بعد يوم من اكتشاف الخرق. لا يحتوي أي من المستودعات المستنسخة على بيانات العملاء. لم يشرح الاستشاري كيف تم اختراق PAT.
تضمنت المستودعات “العديد من شهادات توقيع التعليمات البرمجية المشفرة” التي يمكن للعملاء استخدامها عند العمل مع Desktop أو Atom. لا يوجد دليل على أن الفاعل المهدد يمكنه فك تشفير أو استخدام أي من الشهادات.
“لقد حققنا في محتويات المستودعات المخترقة ولم نجد أي تأثير على GitHub.com أو أي من عروضنا الأخرى خارج الشهادات المحددة المذكورة أعلاه” ، كما جاء في الاستشارة. لم يتم إجراء أي تغييرات غير مصرح بها على الكود في هذه المستودعات.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
