据 Github 发布的安全公告,2022 年 12 月 6 日黑客使用受损的个人访问令牌克隆了 Github Desktop、Atom 和其他已弃用的存储库。存储库里则包含 Github 的代码签名证书,Github 次日发现异常后,立即撤销了这个访问令牌。

Github 对这两份签名证书进行了加密,所以黑客没法解密的话还是没法使用,目前 Github 也没有外部发现有利用这些签名证书的迹象。

受此次时间影响。如下版本将被停用。

Github Atom 以下版本将被停用:1.63.1 和 1.63.0。

Github Desktop for Mac 以下版本将被停用:3.0.2~3.0.8、3.1.0~3.1.2

Github Desktop for Windows 版不受影响。

本次安全事件不涉及任何客户的个人资料,泄露的存储库主要是 Github 自己的部分数据。

另外目前尚不清楚黑客是如何获得个人访问令牌的,Github 估计还在进行调查所以没有公布细节。