Tin tặc đã đánh cắp chứng chỉ ký số được mã hóa liên quan đến một số phiên bản của ứng dụng GitHub Desktop dành cho Mac và Atom.
Trong bản cập nhật ngày 2/2/2023, GitHub đã đã thu hồi cả ba chứng chỉ bị xâm phạm gồm: hai chứng chỉ ký số Digicert được sử dụng cho Windows và một chứng chỉ ID nhà phát triển của Apple.Việc chiếm được các chứng chỉ có thể cho phép tin tặc ký các ứng dụng bị nhiễm trojan bằng các chứng chỉ này và coi chúng là có nguồn gốc từ GitHub.
Các phiên bản của GitHub Desktop dành cho Mac đã bị vô hiệu hóa gồm: 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1 và 3.1 .2.
Các phiên bản 1.63.0 và 1.63.1 của 1.63.0 của Atom cũng ngừng hoạt động kể từ ngày 2/2/2023, yêu cầu người dùng hạ cấp xuống phiên bản trước đó (1.60.0) của trình chỉnh sửa mã nguồn. Atom đã chính thức ngừng hoạt động vào tháng 12/2022. GitHub Desktop cho Windows không bị ảnh hưởng.
Không có kho lưu trữ nào chứa dữ liệu khách hàng và thông tin đăng nhập bị xâm phạm.
Nguồn: GitHub, The Hacker News