GitHub 2款App程式碼簽章憑證遭駭客竊取

原始碼代管平臺GitHub本周公告平臺上的程式碼儲存庫遭駭，致使2款桌面App的程式碼簽章憑證被複製，GitHub已撤銷外洩的憑證，呼籲用戶升級到安全版本。

根據GitHub的說明，去年12月7日GitHub偵測到數個用於GitHub Desktop和Atom App的規畫和開發程式碼儲存庫，以及GitHub旗下舊單位的儲存庫在前一天遭不明人士存取。他們的調查顯示，這些儲存庫被駭客利用機器帳號相關的個人存取令牌（Personal Access Token，PAT）複製且外流。該平臺一發現就立即撤銷存取這些儲存庫的令牌。

GitHub說外洩的Desktop和Atom App憑證有密碼保護，而且他們在安全公告發布當下（1/30）還沒發現這些憑證有被惡意存取、或已經被解密的證據。除此之外，他們判斷這次存取未對GitHub.com服務造成風險，這些專案也沒有被攻擊者變更。此外，上述儲存庫也不包含客戶資料。

GitHub說明，用於Desktop和Atom App的外洩簽章憑證中，有3項在被駭時是有效的，包括2項Windows平臺的Digicert憑證，以及1項Apple Developer ID憑證，涉及特定Atom App版，以及特定Mac版本的Desktop App。

詳細而言，Digicert憑證各在2023年1月4日及2月1日到期，而Apple Developer ID憑證效期到2027年。但為求安全，GitHub會在2023年2月2日撤銷這些憑證。

由於撤銷簽章憑證後會使得這些App無法使用，GitHub呼籲特定Mac版Desktop App用戶升級到今年1月4日釋出的最新版本，包括3.0.1-3.0.8、3.1.0-3.1.2。Windows版Desktop App則未受影響。

特定版本，包括1.63.0、1.63.1的Atom App則會在2月2日停止運作，用戶必須升級到前一個版本1.60版。