باج خواهی یک هکر برای پاک نکردن اطلاعات سایت Git

صدها نفر از توسعه دهندگان، مخازن کد منبع Git را پاک کرده و با تقاضای جبران جایگزین کرده اند.

حملات آغاز شده در اوایل امروز، به نظر می رسد در سراسر خدمات میزبانی Git (GitHub، Bitbucket، GitLab) هماهنگ شده است، و هنوز مشخص نیست که چگونه آنها اتفاق می افتد.

چیزی که شناخته شده این است که هکر تمام کد منبع و دستورات اخیر را از مخزن Git vitcims حذف می کند و یک یادداشت جبران ناپذیر را پشت سر می گذارد که خواستار پرداخت 0.1 بیت کوین (~ ​​570 دلار) است.

هکر ادعا می کند که تمام کد منبع در یکی از سرورهای خود بارگیری و ذخیره می شود و قربانی ده روز به پرداخت جبران خسارت می پردازد؛ در غیر این صورت، آنها کد را عمومی می کنند.

برای بازیابی کد های از دست رفته خود و جلوگیری از نشت آن: ارسال 0.1 Bitcoin (BTC) به آدرس Bitcoin ما ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA و با ما تماس بگیرید با ایمیل در admin@gitsbackup.com با ورود به سیستم Git خود و اثبات پرداخت. اگر مطمئن نیستید که اطلاعات خود را داشته باشید، با ما تماس بگیرید و ما یک مدرک برای شما ارسال خواهیم کرد. کد شما در سرورهای ما دانلود و پشتیبان گیری می شود. اگر ما در 10 روز آینده پرداخت شما را دریافت نکنیم، کد شما را به صورت عمومی و یا از موارد دیگر استفاده می کنیم.

پرداخت در آدرس ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA بیتکوین، که، در زمان نوشتن، تا هر گونه وجوه دریافت نکرده درخواست شده است.

سکه های مرگ و میر و شمارش

جستجوی GitHub نشان می دهد که تا کنون حداقل 392 مخزن GitHub مورد استفاده قرار گرفته اند.

با توجه به BitcoinAbuse.com، یک وبسایت که آدرسهای بیت کوین را برای فعالیت مشکوک مورد استفاده قرار می دهد، امروزه 27 گزارش سوء استفاده برای این آدرس وجود دارد، زمانی که ابتدا در پایگاه داده سایت نمایش داده شد. همه گزارش های سوء استفاده شامل یک یادداشت جبران خسارت است، که نشان می دهد آدرس Bitcoin در یک حمله هماهنگ شده با هدف حساب Git مورد استفاده قرار می گیرد.

برخی از کاربران که قربانی این هکر شده اند مجاز به استفاده از کلمه عبور ضعیف برای حساب های GitHub، GitLab و Bitbucket خود هستند و فراموش کردن حذف برچسب های دسترسی برای برنامه های قدیمی که ماه ها استفاده نکرده اند - که هر دو روش بسیار رایج هستند که حساب های آنلاین معمولا به خطر می افتد.

با این حال، تمام شواهد نشان می دهد که هکر کل اینترنت را برای فایل های پیکربندی Git اسکن کرده است، اعتبار های استخراج شده، و سپس از این logins ها برای دسترسی و دفع حساب در سرویس های میزبانی وب Git استفاده می کند.

کتی وانگ، مدیر امنیت برای GitLab، در یک ایمیل به ZDNet، اذعان کرد که این امر دلیل اصلی یک حساب کاربری است که کاربر را به زودی در StackExchange گزارش می دهد.

ما منبع را بر اساس یک بلیط پشتیبانی شده توسط استفان گابوف دیروز شناسایی کردیم و بلافاصله موضوع را بررسی کردیم. ما حسابهای کاربری تحت تأثیر را شناسایی کرده ایم و همه این کاربران اطلاع داده شده اند. در نتیجه تحقیقات ما شواهد قوی وجود دارد که حسابهای آسیب دیده دارای رمزهای حساب ذخیره شده در متن ساده در استقرار یک مخزن مرتبط هستند. ما به شدت از استفاده از ابزارهای مدیریت رمز عبور برای ذخیره کلمات عبور به شیوه ای ایمن تر استفاده می کنیم و هر کدام که ممکن است امکان احراز هویت دو عامل را فراهم کنیم، هر دو از این مسئله جلوگیری می کنند

Atlassian، شرکتی که Bitbucket دارد، به درخواست درخواست نظر پاسخ نداده است، اما آنها شروع به اطلاع رسانی به مشتریانی کردند که اعتقاد دارند که هکرها دسترسی غیر قانونی را دریافت کرده اند، و همچنین شروع به ارسال هشدارهای امنیتی به حساب هایی که تلاش های ورود به سیستم ناموفق بوده است.

راهی برای بازپس گرفتن

خبر خوب این است که پس از حادثه از طریق پرونده قربانی، اعضای جلسه امنیتی StackExchange متوجه شدند که هکرها در واقع حذف نمیکنند، اما در حقیقت، هکرهای Git commit را تغییر میدهد، به این معنا که در برخی موارد ممکن است مرتکب شده باشد.

دستورالعمل در مورد نحوه بازیابی مخازن Git منگل در این صفحه موجود است.

در توییتر، چندین شخصیت مهم در جامعه توسعه دهنده، در حال حاضر قربانیان را برای تماس با تیم های پشتیبانی در GitHub، GitLab، یا Bitbucket، قبل از پرداخت هرگونه تقاضای پس انداز، می خواهند، زیرا ممکن است راه های دیگری برای بازیابی حذف رپو نیز وجود داشته باشد.

به احتمال زیاد، مخزن Git نیز به خطر افتاده است، که بدون شک تحقیقات طولانی در شرکت هایی که ممکن است کد اختصاصی خود را به طور بالقوه به یک سرور از راه دور متصل کرده اند، باعث شود.