×
git-logo.jpg
Hundratals utvecklare har haft Git-kod förråd utplånas och ersättas med en lösen efterfrågan.
Attackerna började tidigare idag, verkar vara samordnade över Git hosting-tjänster (GitHub, Bitbucket, GitLab), och det är fortfarande oklart hur de är som händer.
Vad är det som är känt är att hackare tar bort all källkod och senare begår från vitcims Git repositories, och lämnar en gisslan anteckning bakom som ber om en betalning av 0,1 Bitcoin (~$570).
Hackare hävdar att alla källkod har hämtats och lagrats på en av deras servrar, och ger offret tio dagar på sig att betala lösen, annars kommer de att göra koden allmänheten.
För att återställa förlorade kod och undvika läckande det: Skicka oss 0.1 Bitcoins (BTC) till vår Bitcoin-adress ES14c7qLb5CYhLMUekctxLgc1FV2Ti9Da och kontakta oss via E-post admin@gitsbackup.com med din Git login och ett Bevis på Betalning. Om du är osäker på om vi har dina uppgifter, kontakta oss och vi kommer att skicka dig ett bevis. Din kod är hämtade och ställde upp på våra servrar. Om vi inte mottagit din betalning inom de kommande 10 Dagarna, vi kommer att göra din kod offentliga eller använda dem på annat sätt.
Betalning begärs på ES14c7qLb5CYhLMUekctxLgc1FV2Ti9Da Bitcoin-adress, som, i skrivande stund, har inte fått några pengar.
Hundratals offer och räkna
Ett GitHub-sökning visar att minst 392 GitHub förråd har blivit inlösta, så långt.
Enligt BitcoinAbuse.com en webbplats som spårar Bitcoin adresser som används för att komma åt misstänkt aktivitet, det har varit 27 missbruk rapporter för denna adress, i dag, när det var första indexeras i webbplatsens databas. Alla rapporter missbruk har samma lösen not, vilket tyder på Bitcoin-adress används i en samordnad attack syftar till Git-konton.
Vissa användare som föll offer för detta hacker har medgett att använda svaga lösenord för deras GitHub, GitLab, och Bitbucket konton, och att man glömmer att ta bort åtkomsttokens för gamla appar de inte används för månader-båda är mycket vanliga sätt på vilket online-konton oftast får äventyras.
Men alla bevis tyder på att hackare har sökt igenom hela internet för Git-config-filer, som utvinns referenser, och sedan används dessa inloggningar för att komma åt och lösen står på Git-hosting-tjänster.
Dang, jag trodde att alla dessa “/.git/config” söker vi upptäckte var ofarliga. Antar att vi vet vad målet var nu.
— Dålig Paket Rapport (@bad_packets) 3 Maj, 2019
I ett e-postmeddelande till ZDNet, Kathy Wang, Chef för Säkerhet för GitLab, medgav att detta var orsaken till att ett konto angripa en användare rapporterade på StackExchange tidigare idag.
Vi identifierade källan bygger på en support ticket in av Stefan Gabos igår, och började genast att undersöka frågan. Vi har identifierat påverkas användarkonton och alla de användare som har anmälts. Som ett resultat av vår undersökning har vi starka bevis för att den äventyras konton har lösenord lagras i klartext på en utbyggnad av ett rör förvaret. Vi rekommenderar starkt användning av lösenord verktyg för att lagra lösenord på ett mer säkert sätt och möjliggör två-faktor autentisering där så är möjligt, både som skulle ha förhindrat denna fråga
Atlassian, företaget som äger Bitbucket, inte svara på en begäran om kommentar, men de började att meddela dina kunder vars konton att man tror att hackare hade fått olaglig tillgång, och började också skicka säkerhetsvarningar för konton där inloggning försök hade misslyckats.
Ett sätt att återhämta sig
Den goda nyheten är att efter att ha grävt igenom ett offer fall, medlemmar av StackExchange Security forum har funnit att hackaren inte faktiskt tas bort, men merele förändrar Git commit rubriker, vilket innebär att koden förbinder kan återvinnas, i vissa fall.
Anvisningar om hur man återställer sargade Git-arkiv finns på denna sida.
På Twitter, flera viktiga personer i den utvecklare är för närvarande att uppmana brottsoffer att kontakta support team på GitHub, GitLab, eller Bitbucket innan att betala någon lösensumma krav, eftersom det kan finnas andra sätt att återställa raderade repor.
Om detta har hänt dig, *VÄNLIGEN* komma i kontakt med Git[nav, lab]/Bitbucket stöd innan man överväger att betala lösen.
Hela poängen version av kontroll är att det finns en god chans deras support kan hjälpa till att fixa detta. https://t.co/CdCxPzsgdK
— Jessica Rose (@jesslynnrose) 3 Maj, 2019
Privat Git-arkiv var troligen komprometterade, som utan tvivel kommer att utlösa långa utredningar till företag som kan ha haft sin egen kod potentiellt sugs upp till en avlägsen server.
Relaterade skadliga program och it-brottslighet täckning:
Mörka webben brottslighet målgrupperna genom återkommande DDoS attacksWhy kreditkort data stjäla point-of-sale malware är fortfarande en så stor problemWindows Server hosting provider fortfarande ner en vecka efter ransomware attackMysterious hacker har sålt Windows 0-dagar till APT-grupper för tre yearsLaw verkställighet griper mörka webben marknaden efter moderator läcker backend credentialsHacker tar över 29 IoT botnetsHow för att undvika att dokument-baserade attacker malware TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter