GitHub 在去年 12 月發生的一次黑客攻擊中發出了關於“未經授權訪問一組用於規劃和開發 GitHub Desktop 和 Atom 的存儲庫”的警告。
建議用戶以確保他們為受影響的軟件安裝最新更新,但目前沒有跡象表明 GitHub.com 受到了影響。由於攻擊者竊取了代碼簽名證書,GitHub 將於 2 月 2 日吊銷部分 Atom 和 GitHub Desktop 版本的證書,因此用戶應在此日期之前更新。
另請參閱:
揭示一些關於這次攻擊的細節,GitHub 的 Alexis Wales 說:“一組加密的代碼簽名證書被洩露;但是,這些證書受密碼保護,我們沒有惡意使用的證據。作為預防措施,我們將吊銷使用的公開證書對於 GitHub Desktop 和 Atom 應用程序。吊銷這些證書將使某些版本的 GitHub Desktop for Mac 和 Atom 失效”。
威爾士繼續:
2022 年 12 月 6 日,來自我們的 atom、桌面和其他已棄用的 GitHub 擁有的組織的存儲庫信息是由與機器帳戶關聯的受損個人訪問令牌 (PAT) 克隆的。一旦在 2022 年 12 月 7 日被檢測到,我們的團隊立即撤銷了受損憑證,並開始調查對客戶和內部系統的潛在影響。受影響的存儲庫均不包含客戶數據。
但是,一些加密的代碼簽名證書存儲在這些存儲庫中,可通過我們的 GitHub Desktop 和 Atom 發布工作流程中的操作使用。我們沒有證據表明威脅行為者能夠解密或使用這些證書。
GitHub 表示以下版本的 GitHub Desktop for Mac 將於 2 月 2 日停止工作。但指出適用於 Windows 的 GitHub Desktop 不受影響:
3.1.23.1.13.1.03.0.83.0.73.0.63.0.53.0.43.0.33.0.2
此外,該公司警告 Atom 版本 1.63。 0 和 1.63.1 將於 2 月 2 日停止工作,為了繼續使用 Atom,用戶需要 下載以前的 Atom 版本。
更多信息可在 GitHub 博客。
圖片來源: rafapress/d epositphotos