在去年 12 月的一起網絡攻擊中,GitHub 代碼簽名證書被竊。
2022 年 12 月 7 日,GitHub 檢測到 GitHub 規劃和開發中使用的庫文件被非授權訪問。經過調查,GitHub 認為這對 github.com 服務沒有影響,因為并未出現非授權修改的情況。
GitHub 庫被非授權訪問的原因是加密的代碼簽名證書被竊,随後,GitHub 吊銷了被入侵的憑證,并調查該事件對客戶和内部系統的影響。發現受影響的庫中并不包含任何客戶數據。而證書的通過密碼保護的,目前沒有證據表明證書被惡意利用。
被入侵的庫中保存着加密的代碼簽名證書。目前尚不清楚攻擊者是否可以解密或使用這些證書。證書是用來驗證代碼是否是原作者創建的,這些證書并不會對已安裝的 GitHub Desktop 和 Atom 産生影響。但如果攻擊者成功解密證書,就可以用這些證書對非官方的應用簽名,并假裝是 GitHub 官方創建的。
截止 12 月 6 日有 3 個證書仍然是有效的:2 個 Windows 版本 Digicert 代碼簽名證書和 1 個 Apple Developer ID 證書。其中 1 個 Digicert 證書已在 1 月 4 日過期,另一個将在 2 月 1 日過期。過期後,證書将無法再用于代碼簽名。但為了預防潛在風險,GitHub 将于 2 月 2 日将證書吊銷。
Apple Developer ID 證書的有效期為 2027 年,GitHub 将于 2 月 2 日将證書吊銷。并将于蘋果公司監控用該證書簽名的新的可執行文件。
GitHub 将吊銷受影響的用于 GitHub Desktop 和 Atom 的證書。證書吊銷後,部分 GitHub Desktop Mac 版和 Atom 将無法使用。
GitHub Desktop Mac 以下版本将在 2 月 2 日停止服務,請更新到最新版本:
3.1.2
3.1.1
3.1.0
3.0.8
3.0.7
3.0.6
3.0.5
3.0.4
3.0.3
3.0.2
GitHub Desktop Windows 版本不受影響。
以下 Atom 版本将于 2 月 2 日停止服務,用戶需要下載之前的 Atom 版本:
1.63.1
1.63.0
