GitHub客户端代码签名证书被窃

在去年12月的一起网络攻击中,GitHub代码签名证书被窃。

2022年12月7日,GitHub检测到GitHub规划和开发中使用的库文件被非授权访问。经过调查,GitHub认为这对github.com服务没有影响,因为并未出现非授权修改的情况。

GitHub库被非授权访问的原因是加密的代码签名证书被窃,随后,GitHub吊销了被入侵的凭证,并调查该事件对客户和内部系统的影响。发现受影响的库中并不包含任何客户数据。而证书的通过密码保护的,目前没有证据表明证书被恶意利用。

被入侵的库中保存着加密的代码签名证书。目前尚不清楚攻击者是否可以解密或使用这些证书。证书是用来验证代码是否是原作者创建的,这些证书并不会对已安装的GitHub Desktop和Atom产生影响。但如果攻击者成功解密证书,就可以用这些证书对非官方的应用签名,并假装是GitHub官方创建的。

截止12月6日有3个证书仍然是有效的:2个Windows版本 Digicert代码签名证书和1个Apple Developer ID证书。其中1个Digicert证书已在1月4日过期,另一个将在2月1日过期。过期后,证书将无法再用于代码签名。但为了预防潜在风险,GitHub将于2月2日将证书吊销。

Apple Developer ID 证书的有效期为2027年,GitHub将于2月2日将证书吊销。并将于苹果公司监控用该证书签名的新的可执行文件。

GitHub将吊销受影响的用于GitHub Desktop和 Atom的证书。证书吊销后,部分GitHub Desktop Mac版和Atom 将无法使用。

GitHub Desktop Mac以下版本将在2月2日停止服务,请更新到最新版本:

3.1.2

3.1.1

3.1.0

3.0.8

3.0.7

3.0.6

3.0.5

3.0.4

3.0.3

3.0.2

GitHub Desktop Windows版本不受影响。

以下Atom版本将于2月2日停止服务,用户需要下载之前的Atom版本:

1.63.1

1.63.0

参考及来源:嘶吼专业版https://github.blog/2023-01-30-action-needed-for-github-desktop-and-atom-users/

前一篇OpenAI紧急发布AI文本检测工具
后一篇技术高管冒充黑客勒索公司导致市值暴跌40亿美元