微軟旗下的代碼網上託管平台 GitHub 在2月1日表示遭到網絡攻擊。入侵者不僅訪問了部分代碼儲存庫,還竊取了簽署 Desktop 和 Atom 兩款應用的代碼簽名證書。
代碼簽名證書是通過在代碼中植入一個加密戳記,從而可以明確發布的代碼開發者信息。入侵者在通過非法竊取 Desktop 和 Atom 兩款應用的代碼簽名證書之後,就能隨意用於簽署惡意篡改的非官方版本造成安全隱患。
GitHub 在公告中表示「入侵者竊取了一組加密的代碼簽署證書,該證書經過了密碼保護,目前並未發現證據表明入侵者使用該證書。但作為預防措施,我們將撤銷用於 GitHub Desktop 和 Atom 應用程式的公開證書」。
幸好 GitHub 稱 Desktop 和 Atom 的當前版本並不受到憑據盜竊的影響。 GitHub Desktop for Windows 也沒受到影響。
受影響的 GitHub Desktop for Mac 版本如下:3.1.2、3.1.1、3.1.0、3.0.8、3.0.7、3.0.6、3.0.5、3.0.4、3.0.3、3.0.2。
Atom 版本如下:1.63.1、1.63.0。
