聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
有用户报告称,攻击者正在攻击 GitHub、GitLab 和 Bitbucket 用户,从多个仓库擦除代码和 commit,而且仅留下一个勒索留言和很多问题。
擦除代码和 Commit
遭攻击的目标使用了多个 Git 仓库管理平台,这些报告除了都提到 Git 之外,就是受害者还使用了免费的 Git 客户端跨平台 SourceTree。
一名用户收到了来自 Bitbucket 和 SourceTree 所属公司 Atlassian 的声明表示,“前几个小时,我们检测并拦截了来自一个可疑 IP 地址以您的 Atlassian 账户登录尝试。我们认为有人正在使用盗自第三方服务的登录详情列表访问多个账户。”
攻击者渗透受害者的仓库并擦除所有的 commit 历史后,就只留下名为“Warnning (警告)”的仅包含一个文件的勒索留言 commit。这个“警告”勒索留言要求受害者发送 0.1 个比特币,大概相当于568美元。留言称,“要恢复丢失的代码并防止被泄,向我们的比特币地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA发送0.1个比特币,并通过邮件admin@gitsbackup.com 联系我们,并附上 Git 登录凭证和支付凭据。如果你无法确保我们是否持有你的数据,那么联系我们会收到证据。你的代码被下载并被备份到我们的服务器中。如果我们在未来10天内未收到你的付款,那么将会将你的代码公开或用作他途。”
从BitcoinAbuse 平台上检测到,攻击者所使用的比特币地址已存在27个滥用报告,第一个报告提交于5月2日。然而,在 GitHub 上查找时,我们发现了392个受影响的仓库的 commit 和代码均被擦除,攻击者使用的账户是在7年前即2012年1月25日加入该平台的“gitbackup”。
尽管如此,受害者并未支付勒索金,截止到5月3日,攻击者的比特币地址中仅收到一笔款项即0.00052525比特币,折合约2.99美元。
虽然目前尚不知晓攻击者是如何访问受害者的账户的,但一名 StackExchange 用户指出,即使启用了双因素认证,但“从未收到文字消息称,攻击者成功暴力攻陷登录凭证。”
有报告指出,GitHub 已经暂停账户,在检测出攻击后正在调查此事:“GitHub 在昨晚调查时暂停了我的账户,我希望今天能得到消息。我可能只是幸运。”
已有数百名用户中招但还在继续
有受害者承认自己使用了弱密码,并忘记删除数月以来已不再使用的访问令牌。而这两种行为都是在线账户被攻陷的常见原因。
不过所有的证据都表明,黑客扫描整个互联网查找 Git 配置文件、提取凭证,之后使用这些凭证访问并勒索 Git 托管服务账户。
目前已有数百名开发人员中招,不过这个数字还在增加。
恢复方法
不过好消息是,StackExchange 安全论坛在深挖了一个受害者的案例后发现,黑客实际上并未真正删除,而是更改了 Git commit 的头部消息,也就是说在某些情况下代码 commit 可以被恢复。
StackExchange 论坛的一名用户发表了如何恢复遭攻陷的 Git 仓库的方法:
我发现代码并没有丢失,我尝试访问了一个 commit 的哈希,而且有效果。因此代码还在但就是 HEAD 出了问题。我对此了解不多,但使用
git reflog 就能看到我所有的 commit。
我认为攻击者很可能并未克隆仓库,否则真是开发人员的噩梦。攻击者遍历源代码以获取敏感数据或公开代码的可能性较低。另外,它说明这并非针对性攻击,他们只是为了勒索金,可能是脚本小子执行的批量攻击。
因此,如果你输入如下命令:
git checkout origin/master你会看到攻击者的 commit
git checkout master你会看到你所有的文件:
git checkout origin/mastergit reflog # take the SHA of the last commit of yoursgit reset [SHA]
将会修复你的 origin/master,但是
git status表示
HEAD detached from origin/master仍然在查找修复方法。
如果你的文件是本地存储,那么运行
git push origin HEAD:master --force就会修复一切问题。
具体可见:https://security.stackexchange.com/questions/209448/gitlab-account-hacked-and-repo-wiped。
另外在推特上,开发社区的重量级人物正在督促受害者在支付勒索金之前联系 GitLab、GitHub 或 Bitbucket,因为很可能还存在其它恢复方法。
Git 私有库很可能已被攻陷,而这无疑会导致可能专有代码遭远程服务器嗅探的公司发起调查。
回应
GitLab 的安全负责人 Kathy Wang 回应称,“我们从 Stefan Gabos 昨天发的内容明确了来源并且开始展开调查。我们已经找到了所有受影响的用户账户并已全部通知。调查结果显示,我们有足够证据认为受攻陷账户将账户密码以明文形式存储在一个相关仓库的部署中。我们强烈建议使用密码管理工具以更安全的方式存储密码,并在可能的情况下使用双因素认证,这两种措施都会阻止类似事件的发生。”
Atlassian 公司表示,“正在联系所有受影响的 Bitbucket Cloud 用户,仅有受影响用户会收到信函”,如下:
Bitbucket Cloud 安全通告:仓库遭未授权访问
我们联系您的原因是,您的 Bitbucket Cloud 仓库最近遭未授权第三方的访问和删除。
我们目前正在恢复您的仓库并有望在未来24小时内恢复。
我们认为它是针对多个 git 托管服务的更大规模攻击的一部分,仓库内容遭删除并被勒索留言所替代。
在此次攻击中,第三方使用正确的用户名和密码访问了您的仓库。我们认为这些凭证可能已遭其它服务暴露,因为其它 git 托管服务也正在经历类似的攻击。
我们未检测到 Bitbucket 遭其它攻陷的痕迹。
我们已为所有受攻陷账户重置密码以阻止进一步的恶意活动。我们将配合执法部门进行调查。
我们建议您和团队成员重置所有和 Bitbucket 账户相关联的所有其它密码。另外,我们建议为 Bitbucket 账户启用双因素认证。
如有任何问题或需要进一步的协助,请联系我们的支持团队。
原文链接
https://www.bleepingcomputer.com/news/security/attackers-wiping-github-and-gitlab-repos-leave-ransom-notes/
https://www.zdnet.com/article/a-hacker-is-wiping-git-repositories-and-asking-for-a-ransom/
https://security.stackexchange.com/questions/209448/gitlab-account-hacked-and-repo-wiped
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。