GitHub 成为黑客攻击的受害者，桌面和原子代码签名证书被盗！

雅加达 - 本周早些时候，GitHub，被称为软件开发人员的基于云的网站和服务，检测到对存储库集合的未经授权的访问。

该存储库用于GitHub Desktop和Atom的规划和开发。这种未经授权的访问是在去年 12 月发生的黑客攻击中发现的。

GitHub代表亚历克西斯·威尔士（Alexis Wales）解释了这次黑客攻击。2022 年 12 月 6 日，GitHub 已弃用的存储库、桌面和组织被与计算机帐户关联的个人访问令牌 （PAT） 复制。

在 2022 年 12 月 7 日检测到后，GitHub 团队立即撤销了已泄露的凭据，并开始调查对客户和内部系统的潜在影响。受影响的存储库均不包含客户数据。

“但是，一些加密的代码签名证书存储在此存储库中，以便通过我们的GitHub Desktop工作流程和Atom版本中的操作使用。我们没有证据表明威胁行为者可以解密或使用这些证书，“威尔士在2月1日星期三引用的公司博客文章中说。

幸运的是，没有GitHub数据在黑客攻击中被盗，但威尔士仍然建议用户确保他们下载受影响软件的最新更新。

“经过彻底调查，我们得出结论，由于这种未经授权的访问，GitHub.com 服务没有风险，也没有对这个项目进行未经授权的更改，”威尔士说。

由于攻击者窃取了代码签名证书，GitHub 将在 2 月 2 日吊销某些版本的 Atom 和 GitHub Desktop 的证书，因此用户必须在此日期之前进行更新。

“已经提取了一组加密的代码签名证书。但是，该证书受密码保护，我们没有恶意使用的证据，“威尔士说。

“作为预防措施，我们将吊销公开并用于GitHub Desktop和Atom应用程序的证书。撤销此证书将使某些版本的GitHub Desktop for Mac和Atom无效，“他补充说。

此外，威尔士还表示，适用于Mac的GitHub桌面版本，如3.1.2，3.1.1，3.1.0，3.0.8，3.0.7，3.0.6，3.0.5，3.0.4，3.0.3和3.0.2将于2月2日停止工作。

同时，GitHub Desktop for Windows不受影响。此外，该公司还警告Atom版本1.63.0和1.63.1将在同一天停止工作，并且要继续使用Atom，用户必须下载以前版本的Atom。