2023年2月2日更新:我们已吊销所有三个证书:两个用于Windows的Digicert代码签名证书和一个Apple Developer ID证书。如果需要,您可以从下载最新版本的GitHub Desktop桌面.github.com和Atom的最新版本原子/原子.
2022年12月7日,GitHub检测到对用于规划和开发GitHub桌面和原子。经过彻底调查,我们得出结论,GitHub.com服务不会因这种未经授权的访问而受到任何风险,也不会对这些项目进行任何未经授权更改。
过滤出一组加密的代码签名证书;然而,这些证书是受密码保护的,我们没有恶意使用的证据。作为预防措施,我们将撤销用于GitHub桌面和Atom应用程序的公开证书。撤销这些证书将使Mac和Atom的某些版本的GitHub Desktop无效。
这些版本的GitHub Desktop for Mac将于2月2日停止工作。求你了更新到最新版本的桌面.
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
GitHub Desktop for Windows不会受到任何影响。
这些版本的Atom也将于2月2日停止工作。要继续使用Atom,用户需要下载以前的Atom版本.
发生了什么
2022年12月6日,我们的原子,桌面和其他不受欢迎的GitHub拥有的组织被与计算机帐户关联的受损个人访问令牌(PAT)克隆。2022年12月7日被发现后,我们的团队立即撤销了泄露的凭据,并开始调查对客户和内部系统的潜在影响。没有一个受影响的存储库包含客户数据。
然而,这些存储库中存储了几个加密的代码签名证书,以便通过GitHub Desktop和Atom发布工作流中的Actions使用。我们没有证据表明威胁参与者能够解密或使用这些证书。
证书用于验证代码是否由列出的作者创建,非常类似于在GitHub上签署您的提交。这些证书不会使桌面和Atom应用程序的现有安装面临风险。然而,如果解密,威胁参与者可以使用这些证书签署非官方应用程序,并假装它们是由GitHub正式创建的。
2022年12月6日,三个证书仍然有效:两个用于Windows的Digicert代码签名证书和一个Apple Developer ID证书。GitHub将于2023年2月2日撤销所有三个证书.
- 其中一个Digicert证书于2023年1月4日到期,第二个证书将于2020年2月1日到期。一旦过期,这些证书就不能再用于对代码进行签名。虽然这些不会带来持续的风险,但作为一项预防措施,我们将于2月2日撤销它们。
- 苹果开发者ID证书有效期至2027年。我们正在与苹果公司合作,监控使用公开证书签名的任何新的可执行文件(如应用程序),直到2月2日证书被吊销。
2023年1月4日,我们发布了新版本的桌面应用程序。此版本使用未暴露给威胁参与者的新证书进行签名。
对GitHub.com的影响
我们调查了受损存储库的内容,发现除了上述特定证书之外,对GitHub.com或我们的任何其他产品都没有影响。未对这些存储库中的代码进行未经授权的更改。
GitHub如何保护我们的用户
今天,我们将从发布页面中删除Atom应用程序1.63.0-1.63.1的最新两个版本。一旦证书被吊销,这些版本将不再运行。你可以下载以前的Atom版本根据我们的日落向导.
2023年2月2日星期四,我们将吊销用于签署Desktop应用程序3.0.2-3.1.2版和Atom 1.63.0-1.63.1版的Mac&Windows签名证书。一旦吊销,使用这些证书签名的所有版本都将不再运行。我们强烈建议更新桌面和/或降级Atom2月2日之前,以避免工作流程中断。
GitHub和更广泛的开发人员生态系统的安全性和可信性是我们的首要任务。我们建议用户根据上述建议采取行动,继续使用GitHub Desktop和Atom。
