GitHub 披露,未知的威胁行为者设法泄露了与适用于 Mac 和 Atom 应用程序的某些版本的 GitHub Desktop 有关的加密代码签名证书。
因此,该公司出于谨慎考虑采取了吊销暴露证书的步骤。 以下版本的 GitHub Desktop for Mac 已失效:3.0.2、3.0.3、3.0.4、3.0.5、3.0.6、3.0.7、3.0.8、3.1.0、3.1.1 和 3.1 .2.
Atom 的 1.63.0 和 1.63.1 版本也预计将于 2023 年 2 月 2 日停止工作,要求用户降级到源代码编辑器的先前版本(1.60.0)。 Atom 于 2022 年 12 月正式停产。适用于 Windows 的 GitHub Desktop 不受影响。
这家微软旗下的子公司表示,它在 2022 年 12 月 7 日检测到对一组存储库的未经授权访问,包括来自已弃用的 GitHub 拥有的组织的存储库,这些存储库用于 GitHub Desktop 和 Atom 的规划和开发。
据说这些存储库是在一天前通过与机器帐户关联的受损个人访问令牌 (PAT) 克隆的。 没有一个存储库包含客户数据,并且已被泄露的凭据已被撤销。 GitHub 没有透露令牌是如何被破坏的。
GitHub 的 Alexis Wales 说:“几个加密的代码签名证书存储在这些存储库中,可通过我们的 GitHub 桌面和 Atom 发布工作流程中的 Actions 使用。” “我们没有证据表明威胁行为者能够解密或使用这些证书。”
值得指出的是,成功解密证书可能允许对手使用这些证书签署木马化应用程序,并将它们作为源自 GitHub 的应用程序传递出去。
这三个受损证书——两个用于 Windows 的 Digicert 代码签名证书和一个 Apple Developer ID 证书——将于 2023 年 2 月 2 日被吊销。
该代码托管平台还表示,它于 2023 年 1 月 4 日发布了新版本的桌面应用程序,该应用程序使用未暴露给威胁者的新证书签名。 它进一步强调,没有对这些存储库中的代码进行未经授权的更改。
声明:本文相关资讯来自thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站处理。