GitHub 表示,未知入侵者未经授权访问了其部分代码存储库,并窃取了其两个桌面应用程序的代码签名证书:Desktop 和 Atom。
代码签名证书在代码上放置一个加密戳记,以验证它是由所列组织开发的,在本例中为 GitHub。如果解密,证书可能允许攻击者签署被恶意篡改的应用程序的非官方版本,并将它们作为来自 GitHub 的合法更新传递出去。 Desktop 和 Atom 的当前版本不受凭据盗窃的影响。
“一组加密的代码签名证书被泄露;但是,证书受密码保护,我们没有恶意使用的证据,”该公司在一份公告中写道。 “作为预防措施,我们将撤销用于 GitHub Desktop 和 Atom 应用程序的公开证书。”