黑客正在清除Git存儲(chǔ)庫并要求贖金

數(shù)百名開發(fā)人員已經(jīng)刪除了Git源代碼存儲(chǔ)庫，并用贖金要求代替了。

這些攻擊是從今天早些時(shí)候開始的，似乎在Git托管服務(wù)(GitHub，Bitbucket，GitLab)之間進(jìn)行了協(xié)調(diào)，目前尚不清楚它們是如何發(fā)生的。

眾所周知，黑客從vitcims的Git存儲(chǔ)庫中刪除了所有源代碼和最新提交的內(nèi)容，并留下贖金記錄，要求支付0.1比特幣(約合570美元)。

黑客聲稱所有源代碼均已下載并存儲(chǔ)在其一臺(tái)服務(wù)器上，并給受害者十天的時(shí)間以支付贖金;否則，他們會(huì)將代碼公開。

要恢復(fù)丟失的代碼并避免泄露，請(qǐng)執(zhí)行以下操作：向我們的比特幣地址ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA發(fā)送0.1比特幣(BTC)，并通過admin@gitsbackup.com通過電子郵件與我們聯(lián)系，并提供您的Git登錄名和付款證明。如果您不確定我們是否有您的數(shù)據(jù)，請(qǐng)與我們聯(lián)系，我們將向您發(fā)送證明。您的代碼已下載并備份到我們的服務(wù)器上。如果我們?cè)诮酉聛淼?0天內(nèi)沒有收到您的付款，則我們會(huì)將您的代碼公開或以其他方式使用。

要求在ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA比特幣地址付款，該地址在撰寫本文時(shí)尚未收到任何資金。

數(shù)以百計(jì)的受害者和計(jì)數(shù)

GitHub搜索顯示，到目前為止，至少有392個(gè)GitHub存儲(chǔ)庫已被贖回。

根據(jù)追蹤用于可疑活動(dòng)的比特幣地址的網(wǎng)站BitcoinAbuse.com的數(shù)據(jù)，當(dāng)該地址首次在該站點(diǎn)的數(shù)據(jù)庫中被索引時(shí)，今天已經(jīng)有27個(gè)該地址的濫用報(bào)告。所有濫用報(bào)告都包含相同的贖金記錄，表明針對(duì)Git帳戶的協(xié)同攻擊中使用了比特幣地址。

一些成為該黑客的受害者的用戶已經(jīng)承認(rèn)為他們的GitHub，GitLab和Bitbucket帳戶使用了弱密碼，卻忘記刪除他們已經(jīng)幾個(gè)月沒有使用的舊應(yīng)用程序的訪問令牌了，這兩種都是非常常見的方式。哪些在線帳戶通常會(huì)遭到入侵。

但是，所有證據(jù)都表明，黑客已經(jīng)掃描了整個(gè)Internet上的Git配置文件，提取了憑據(jù)，然后使用這些登錄信息來訪問和勒索Git托管服務(wù)處的帳戶。

當(dāng)，我認(rèn)為我們檢測(cè)到的所有“ /.git/config”掃描都是無害的。猜猜我們知道現(xiàn)在的目標(biāo)是什么。

— Bad Packets Report(@bad_packets)，2019年5月3日

在給ZDNet的電子郵件中，GitLab安全總監(jiān)Kathy Wang承認(rèn)，這是造成今天早些時(shí)候在StackExchange上報(bào)告的用戶帳戶遭到入侵的根本原因。

我們根據(jù)昨天Stefan Gabos提交的支持票證確定了消息來源，并立即開始調(diào)查此問題。我們已確定受影響的用戶帳戶，并且已通知所有這些用戶。作為我們調(diào)查的結(jié)果，我們有充分的證據(jù)表明，受到破壞的帳戶的帳戶密碼以明文形式存儲(chǔ)在相關(guān)存儲(chǔ)庫的部署中。我們強(qiáng)烈建議您使用密碼管理工具以更安全的方式存儲(chǔ)密碼，并在可能的情況下啟用兩因素身份驗(yàn)證，這兩種方法都可以避免此問題

擁有Bitbucket的公司Atlassian沒有回應(yīng)置評(píng)請(qǐng)求，但是他們開始通知客戶其帳戶認(rèn)為黑客已經(jīng)獲得了非法訪問權(quán)，并開始向登錄嘗試失敗的帳戶發(fā)送安全警報(bào)。

恢復(fù)的方法

好消息是，在仔細(xì)研究了受害者的案件后，StackExchange Security論壇的成員發(fā)現(xiàn)黑客實(shí)際上并未刪除，但是merele更改了Git提交標(biāo)頭，這意味著在某些情況下可以恢復(fù)代碼提交。

本頁提供了有關(guān)如何恢復(fù)損壞的Git存儲(chǔ)庫的說明。

在Twitter上，開發(fā)者社區(qū)中的幾個(gè)重要人物目前正在敦促受害者在支付任何贖金要求之前聯(lián)系GitHub，GitLab或Bitbucket的支持團(tuán)隊(duì)，因?yàn)榭赡苓€有其他方法來恢復(fù)已刪除的存儲(chǔ)庫。

如果您遇到了這種情況，請(qǐng)*在考慮支付贖金之前先與Git [hub，lab] / Bitbucket支持聯(lián)系。

版本控制的重點(diǎn)在于，他們的支持很有可能會(huì)解決此問題。https://t.co/CdCxPzsgdK

-杰西卡·羅斯(@jesslynnrose)2019年5月3日

私有Git存儲(chǔ)庫也很可能遭到了破壞，這無疑將引發(fā)對(duì)公司的長期調(diào)查，這些公司可能會(huì)將其專有代碼轉(zhuǎn)移到遠(yuǎn)程服務(wù)器上。