×
git-logo.jpg
Hundredvis af udviklere har haft havde Git kildekode repositories udslettet og erstattet med en løsesum efterspørgsel.
Angrebene startede tidligere i dag, ser ud til at være koordineret på tværs af Git-hosting-tjenester (GitHub, Bitbucket, GitLab), og det er stadig uklart, hvordan de sker.
Hvad det er kendt, er, at hacker-fjerner alle kildekoden og de seneste forpligter sig fra vitcims’ Git-depoter, og efterlader en løsesum note bag, der anmoder om en betaling på 0,1 Bitcoin (~$570).
Hacker hævder, at alle kildekoden er blevet hentet og gemt på en af deres servere, og giver offeret ti dage til at betale løsepenge; ellers vil de gøre koden offentlige.
For at gendanne tabte kode og undgå, at der siver det: Send os 0.1 Bitcoins (BTC) – i vores Bitcoin adresse ES14c7qLb5CYhLMUekctxLgc1FV2Ti9Da og kontakte os via e-Mail på admin@gitsbackup.com med din Git login og et Bevis for Betaling. Hvis du er usikker på, om vi har dine data, så kontakt os og vi vil sende dig et bevis. Din kode er downloadet og bakkes op på vores servere. Hvis vi ikke modtager din indbetaling inden for de næste 10 Dage, vil vi gøre din kode offentlige eller bruge dem på anden måde.
Betaling er anmodet om på ES14c7qLb5CYhLMUekctxLgc1FV2Ti9Da Bitcoin adresse, der, i skrivende stund, har ikke modtaget nogen penge.
Hundredvis af ofre og tælle
En GitHub søgning viser, at mindst 392 GitHub arkiver har været løskøbte, så langt.
I henhold til BitcoinAbuse.com en hjemmeside, der registrerer Bitcoin adresser, der bruges for mistænkelig aktivitet, der har været 27 rapporter om misbrug for denne adresse i dag, da det blev indekseret i webstedets database. Alle rapporter om misbrug indeholde de samme løsesum bemærk, tyder det Bitcoin adresse bliver brugt i et koordineret angreb rettet mod Gnome-konti.
Nogle brugere, der blev offer for denne hacker har adgang til ved hjælp af svage adgangskoder til deres GitHub, GitLab, og Bitbucket konti, og glemmer at fjerne adgang poletter til gamle apps, som de ikke har brugt i flere måneder –som begge er meget almindelige måder, hvorpå online-konti, der normalt bliver kompromitteret.
Men alt tyder på, at en hacker har scannet hele internettet for Git-config filer, udvundet legitimationsoplysninger, og derefter anvendes disse logins at få adgang til og løsepenge konti på Git-hosting-tjenester.
Dang, jeg troede, at alle disse “/.git/config” scanner vi opdaget, var harmløse. Tror vi ved, hvad målet var nu.
— Dårlig Pakker Rapport (@bad_packets) 3 Maj 2019
I en e-mail til ZDNet, Kathy Wang, Direktør for Sikkerhed for GitLab, tilladt, at dette var den egentlige årsag til en konto kompromis en bruger rapporteret om StackExchange tidligere i dag.
Vi identificeret kilden, der er baseret på en support ticket gemt af Stefan Gabos i går, og begyndte straks at undersøge problemet. Vi har identificeret de berørte brugerkonti og alle disse brugere har været meddelt. Som et resultat af vores efterforskning, at vi har stærke beviser for, at de kompromitterede konti har adgangskoder, der gemmes i almindelig tekst på en indsættelse af en relateret repository. Vi opfordrer på det kraftigste brug af password management værktøjer til at gemme adgangskoder på en mere sikker måde, og så to-faktor-autentificering, hvor det er muligt, både af og som ville have forhindret dette emne
Atlassian, det selskab, der ejer Bitbucket, ikke reagerer på en anmodning om kommentarer, men de begyndte at anmelde kunder, hvis regnskaber er det mente hackere havde fået ulovlig adgang, og begyndte også at sende sikkerhedsadvarsler til konti, hvor login-forsøg havde slået fejl.
En måde at inddrive
Den gode nyhed er, at efter at grave gennem et offer tilfælde, der er medlemmer af den StackExchange Sikkerhed forum har fundet, at hackeren faktisk ikke slet, men merele ændrer Git commit overskrifter, hvilket betyder, kode begår kan inddrives, i nogle tilfælde.
Instruktioner om, hvordan man gendanne mangled Git-depoter er tilgængelige på denne side.
På Twitter, er der flere vigtige tal i udvikler-community, er i øjeblikket opfordrer ofrene til at kontakte support hold på GitHub, GitLab, eller Bitbucket, før du betaler løsepenge efterspørgsel, som der kunne være andre måder at gendanne slettede genkøbsforretninger.
Hvis dette er sket for dig, *BEMÆRK* komme i kontakt med Git[hub, lab]/Bitbucket støtte, før man overvejer at betale løsepenge.
Hele pointen med version kontrol er, at der er en god chance for deres støtte kan hjælpe med at løse dette. https://t.co/CdCxPzsgdK
— Jessica Rose (@jesslynnrose) 3 Maj 2019
Private Git-depoter var mest sandsynligt kompromitteret, hvilket vil uden tvivl udløse en lang række undersøgelser på virksomheder, der muligvis har haft deres proprietære kode potentielt kanalisering til en ekstern server.
Relaterede malware og it-kriminalitet dækning:
Dark web kriminalitet markeder ramt af tilbagevendende DDoS attacksWhy kredit kort data stjæle point-of-sale malware er stadig sådan en stor problemWindows Server hosting udbyder stadig ned en uge efter ransomware attackMysterious hacker har været at sælge Windows 0-dage til APT grupper for tre yearsLaw håndhævelse griber dark web markedet efter moderator utætheder backend credentialsHacker tager over 29 IoT botnetsHow at undgå dokument-baseret malware-angreb, TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre