黑客正在清除Git存储库并要求赎金

数百名开发人员已经删除了Git源代码存储库,并用赎金要求代替了。

这些攻击是从今天早些时候开始的,似乎在Git托管服务(GitHub,Bitbucket,GitLab)之间进行了协调,目前尚不清楚它们是如何发生的。

众所周知,黑客从vitcims的Git存储库中删除了所有源代码和最新提交的内容,并留下赎金记录,要求支付0.1比特币(约合570美元)。

黑客声称所有源代码均已下载并存储在其一台服务器上,并给受害者十天的时间以支付赎金;否则,他们会将代码公开。

要恢复丢失的代码并避免泄露,请执行以下操作:向我们的比特币地址ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA发送0.1比特币(BTC),并通过[email protected]通过电子邮件与我们联系,并提供您的Git登录名和付款证明。如果您不确定我们是否有您的数据,请与我们联系,我们将向您发送证明。您的代码已下载并备份到我们的服务器上。如果我们在接下来的10天内没有收到您的付款,则我们会将您的代码公开或以其他方式使用。

要求在ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA比特币地址付款,该地址在撰写本文时尚未收到任何资金。

数以百计的受害者和计数

GitHub搜索显示,到目前为止,至少有392个GitHub存储库已被赎回。

根据追踪用于可疑活动的比特币地址的网站BitcoinAbuse.com的数据,当该地址首次在该站点的数据库中被索引时,今天已经有27个该地址的滥用报告。所有滥用报告都包含相同的赎金记录,表明针对Git帐户的协同攻击中使用了比特币地址。

一些成为该黑客的受害者的用户已经承认为他们的GitHub,GitLab和Bitbucket帐户使用了弱密码,却忘记删除他们已经几个月没有使用的旧应用程序的访问令牌了,这两种都是非常常见的方式。哪些在线帐户通常会遭到入侵。

但是,所有证据都表明,黑客已经扫描了整个Internet上的Git配置文件,提取了凭据,然后使用这些登录信息来访问和勒索Git托管服务处的帐户。

当,我认为我们检测到的所有“ /.git/config”扫描都是无害的。猜猜我们知道现在的目标是什么。

— Bad Packets Report(@bad_packets),2019年5月3日

在给ZDNet的电子邮件中,GitLab安全总监Kathy Wang承认,这是造成今天早些时候在StackExchange上报告的用户帐户遭到入侵的根本原因。

我们根据昨天Stefan Gabos提交的支持票证确定了消息来源,并立即开始调查此问题。我们已确定受影响的用户帐户,并且已通知所有这些用户。作为我们调查的结果,我们有充分的证据表明,受到破坏的帐户的帐户密码以明文形式存储在相关存储库的部署中。我们强烈建议您使用密码管理工具以更安全的方式存储密码,并在可能的情况下启用两因素身份验证,这两种方法都可以避免此问题

拥有Bitbucket的公司Atlassian没有回应置评请求,但是他们开始通知客户其帐户认为黑客已经获得了非法访问权,并开始向登录尝试失败的帐户发送安全警报。

恢复的方法

好消息是,在仔细研究了受害者的案件后,StackExchange Security论坛的成员发现黑客实际上并未删除,但是merele更改了Git提交标头,这意味着在某些情况下可以恢复代码提交。

本页提供了有关如何恢复损坏的Git存储库的说明。

在Twitter上,开发者社区中的几个重要人物目前正在敦促受害者在支付任何赎金要求之前联系GitHub,GitLab或Bitbucket的支持团队,因为可能还有其他方法来恢复已删除的存储库。

如果您遇到了这种情况,请*在考虑支付赎金之前先与Git [hub,lab] / Bitbucket支持联系。

版本控制的重点在于,他们的支持很有可能会解决此问题。https://t.co/CdCxPzsgdK

-杰西卡·罗斯(@jesslynnrose)2019年5月3日

私有Git存储库也很可能遭到了破坏,这无疑将引发对公司的长期调查,这些公司可能会将其专有代码转移到远程服务器上。