GitHub terkena peretas; sertifikat penandatanganan kode untuk GitHub Desktop dan aplikasi Atom dicuri

GitHub terkena peretas;  sertifikat penandatanganan kode untuk GitHub Desktop dan aplikasi Atom dicuri

Logo GitHub di bawah kaca pembesar

GitHub telah mengeluarkan peringatan tentang “akses tidak sah ke sekumpulan repositori yang digunakan dalam perencanaan dan pengembangan GitHub Desktop dan Atom” dalam peretasan yang terjadi pada bulan Desember lalu.

Pengguna disarankan untuk memastikan bahwa mereka menginstal pembaruan terbaru untuk perangkat lunak yang terpengaruh, tetapi saat ini tidak ada saran bahwa GitHub.com telah terpengaruh. Dengan penyerang yang telah mencuri sertifikat penandatanganan kode, GitHub mencabut sertifikat untuk beberapa versi Atom dan GitHub Desktop pada 2 Februari, jadi pengguna harus memperbarui sebelum tanggal ini.

Lihat juga:

Mengungkap beberapa detail serangan itu, Alexis Wales dari GitHub mengatakan: “Seperangkat sertifikat penandatanganan kode terenkripsi telah diekstraksi; namun, sertifikat tersebut dilindungi kata sandi dan kami tidak memiliki bukti penggunaan jahat. Sebagai tindakan pencegahan, kami akan mencabut yang terekspos sertifikat yang digunakan untuk aplikasi GitHub Desktop dan Atom. Mencabut sertifikat ini akan membatalkan beberapa versi GitHub Desktop untuk Mac dan Atom”.

Wales melanjutkan:

Pada tanggal 6 Desember 2022, repositori dari atom, desktop, dan organisasi milik GitHub kami yang sudah tidak digunakan lagi digandakan oleh Token Akses Pribadi (PAT) yang dikompromikan yang terkait dengan akun mesin. Setelah terdeteksi pada 7 Desember 2022, tim kami segera mencabut kredensial yang disusupi dan mulai menyelidiki potensi dampak terhadap pelanggan dan sistem internal. Tak satu pun dari repositori yang terpengaruh berisi data pelanggan.

Namun, beberapa sertifikat penandatanganan kode terenkripsi disimpan di repositori ini untuk digunakan melalui Actions di alur kerja GitHub Desktop dan rilis Atom kami. Kami tidak memiliki bukti bahwa pelaku ancaman dapat mendekripsi atau menggunakan sertifikat ini.

GitHub mengatakan bahwa versi GitHub Desktop untuk Mac berikut ini akan berhenti berfungsi pada 2 Februari., tetapi menunjukkan bahwa GitHub Desktop untuk Windows tidak terpengaruh:

3.1.23.1.13.1.03.0.83.0.73.0.63.0.53.0.43.0.33.0.2

Selain itu, perusahaan memperingatkan bahwa versi Atom 1.63.0 dan 1.63.1 akan berhenti berfungsi pada tanggal 2 Februari, dan untuk tetap menggunakan Atom, pengguna harus mengunduh versi Atom sebelumnya.

Informasi lebih lanjut tersedia di blog GitHub.

Kredit gambar: rafapress / depositphotos

Author: Kenneth Henderson