GitHubは、ハッキング、デスクトップ、およびAtomコード署名証明書の盗難の犠牲になりました。

ジャカルタ-今週初め、ソフトウェア開発者向けのクラウドベースのWebサイトおよびサービスとして知られるGitHubが、リポジトリのコレクションへの不正アクセスを検出しました。

そのリポジトリは、GitHub Desktop と Atom の計画と開発に使用されます。このような不正アクセスは、昨年12月に行われたハッキングで発見されました。

GitHubの代表者であるAlexis Walesは、ハッキングについて説明しました。2022 年 12 月 6 日、GitHub の非推奨のリポジトリ、デスクトップ、および組織は、マシンアカウントに関連付けられた個人用アクセストークン (PAT) によって複製されました。

2022 年 12 月 7 日に検出されると、GitHub チームは侵害された資格情報をすぐに取り消し、顧客と内部システムへの潜在的な影響の調査を開始しました。影響を受けるリポジトリには、顧客データは含まれていません。

「ただし、一部の暗号化されたコード署名証明書は、GitHub DesktopワークフローおよびAtomリリースのアクションを介して使用するために、このリポジトリに保存されています。脅威アクターがこれらの証明書を復号化または使用できるという証拠はありません」とウェールズは2月1日水曜日に引用された会社のブログ投稿で述べています。

幸いなことに、ハッキングでGitHubデータが盗まれたことはありませんが、ウェールズは、影響を受けるソフトウェアの最新のアップデートをダウンロードするようにユーザーにアドバイスしています。

「徹底的な調査の結果、この不正アクセスの結果としてサービス GitHub.com リスクはなく、このプロジェクトに不正な変更は行われなかったと結論付けました」とWales氏は述べています。

攻撃者がコード署名証明書を盗んだため、GitHubは2月2日に一部のバージョンのAtomおよびGitHub Desktopの証明書を取り消すため、ユーザーはこの日付より前に更新する必要があります。

「暗号化されたコード署名証明書のセットが抽出されました。ただし、証明書はパスワードで保護されており、悪意のある使用の証拠はありません」とWales氏は述べています。

「予防措置として、GitHub DesktopおよびAtomアプリケーションに公開および使用されている証明書を取り消します。この証明書を取り消すと、GitHub Desktop for MacとAtomの一部のバージョンが無効になります」と彼は付け加えました。

さらに、ウェールズは、3.1.2、3.1.1、3.1.0、3.0.8、3.0.7、3.0.6、3.0.5、3.0.4、3.0.3、3.0.2などのMac用のGitHubデスクトップバージョンは2月2日に動作を停止するとも述べています。

一方、GitHub Desktop for Windows は影響を受けません。さらに、同社はまた、Atomバージョン1.63.0と1.63.1が同じ日に動作を停止し、Atomを使い続けるには、ユーザーは以前のバージョンのAtomをダウンロードする必要があると警告しました。