源码托管平台GitHub本周公告平台上的程序代码存储库遭黑,致使2款桌面App的程序代码签章凭证被复制,GitHub已撤销外泄的凭证,呼吁用户升级到安全版本。
根据GitHub的说明,去年12月7日GitHub侦测到数个用于GitHub Desktop和Atom App的规划和开发程序代码存储库,以及GitHub旗下旧单位的存储库在前一天遭不明人士访问。他们的调查显示,这些存储库被黑客利用机器账号相关的个人访问令牌(Personal Access Token,PAT)复制且外流。该平台一发现就立即撤销访问这些存储库的令牌。
GitHub说外泄的Desktop和Atom App凭证有密码保护,而且他们在安全公告发布当下(1/30)还没发现这些凭证有被恶意访问、或已经被解密的证据。除此之外,他们判断这次访问未对GitHub.com服务造成风险,这些项目也没有被攻击者变更。此外,上述存储库也不包含客户资料。
GitHub说明,用于Desktop和Atom App的外泄签章凭证中,有3项在被黑时是有效的,包括2项Windows平台的Digicert凭证,以及1项Apple Developer ID凭证,涉及特定Atom App版,以及特定Mac版本的Desktop App。
详细而言,Digicert凭证各在2023年1月4日及2月1日到期,而Apple Developer ID凭证有效期到2027年。但为求安全,GitHub会在2023年2月2日撤销这些凭证。
由于撤销签章凭证后会使得这些App无法使用,GitHub呼吁特定Mac版Desktop App用户升级到今年1月4日发布的最新版本,包括3.0.1-3.0.8、3.1.0-3.1.2。Windows版Desktop App则未受影响。
特定版本,包括1.63.0、1.63.1的Atom App则会在2月2日停止运行,用户必须升级到前一个版本1.60版。