Github被黑! 紧急吊销签名证书 开发者需升级软件

据 Github 发布的安全公告，2022 年 12 月 6 日黑客使用受损的个人访问令牌克隆了 Github Desktop、Atom 和其他已弃用的存储库。Github 次日发现异常立即撤销了这个访问令牌，而存储库里则包含 Github 的代码签名证书。

好消息是 Github 对这两份签名证书进行了加密，所以黑客没法解密的话还是没法使用，目前 Github 也没有发现有利用这些签名证书的迹象。

这两份签名证书分别用户 Github Desktop 和 Github Atom，作为预防措施 Github 已经吊销了这两份证书。也正是由于吊销的原因，使用上述受影响证书的版本将停止工作，用户需要及时升级新版本。

Github Desktop for Mac 以下版本将被停用：3.0.2~3.0.8、3.1.0~3.1.2

Github Atom 以下版本将被停用：1.63.1 和 1.63.0。

Github Desktop for Windows 版不受影响。

还有个受影响的是 Apple Developer ID 证书，这份证书要到 2027 年才过期，Github 本周也吊销了这份证书，同时 Github 找苹果安全团队合作监控任何使用这份证书签发的新可执行文件。

目前尚不清楚黑客是如何获得个人访问令牌的，Github 估计还在进行调查所以没有公布细节。

另外本次安全事件不涉及任何客户的个人资料，泄露的存储库主要是 Github 自己的部分数据。