GitHub遭黑客攻擊 竊取數(shù)百源碼并勒索比特幣

五一過(guò)后，一些程序員查看自己托管到GitHub上的代碼時(shí)發(fā)現(xiàn)，他們的源代碼和Repo都已消失不見(jiàn)，上周四，一位Reddit用戶寫了一篇帖子，說(shuō)他的存儲(chǔ)庫(kù)被黑了。代碼也被刪除了，取而代之的是黑客留下的一封勒索信。

黑客在這封信中表示，他們已經(jīng)將源代碼下載并存儲(chǔ)到了自己的服務(wù)器上。受害者要在10天之內(nèi)，往特定賬戶支付0.1比特幣，約合人民幣3800元，否則他們將會(huì)公開(kāi)代碼，或以其他的方式使用它們。

黑客留言：

“要恢復(fù)丟失的代碼并避免泄漏：將比特幣（BTC）發(fā)送到我們的比特幣地址，并通過(guò)電子郵件admin@gitsbackup.com與我們聯(lián)系，并附上您的Git登錄信息和付款證明，”

“如果您不確定我們是否有您的數(shù)據(jù)，請(qǐng)聯(lián)系我們，我們會(huì)向您發(fā)送證明。您的代碼已下載并備份到我們的服務(wù)器上?！?/p>

“如果我們?cè)谖磥?lái)10天內(nèi)未收到您的付款，我們會(huì)將您的代碼公開(kāi)或以其他方式使用。”

雖然有數(shù)百名受害者，但目前黑客并沒(méi)有賺很多錢。 目前，黑客的比特幣錢包只收到了2.99美元左右的一筆付款。反而，在Bitcoin Abuse 數(shù)據(jù)庫(kù)上， 黑客的錢包地址已經(jīng)被34人舉報(bào)了。

數(shù)以百計(jì)的受害者

黑客黑了包括微軟在內(nèi)的多達(dá)392個(gè)代碼存儲(chǔ)庫(kù)，根據(jù)Motherboard報(bào)道，多達(dá)1000名用戶可能會(huì)受到攻擊。

目前尚不清楚黑客如何闖入所有這些賬戶，Atlassian正在調(diào)查這些事件以試圖解決這個(gè)問(wèn)題。不僅僅是GitHub，其他代碼托管網(wǎng)站GitLab、Bitbucket也受到了攻擊。因此黑客很可能是針對(duì)安全性較差的存儲(chǔ)庫(kù)而不是特定的漏洞。

目前還不清楚是否存在有價(jià)值的東西在這次黑客活動(dòng)中被盜。因?yàn)镚itHub上的許多代碼存儲(chǔ)庫(kù)都是公共的。而且有一些用戶上傳的項(xiàng)目代碼“半生不熟”。所以，損失或許沒(méi)有想象的那么大。

成為受害者的用戶大多是在他們的GitHub，GitLab和Bitbucket帳戶使用了弱密碼，或者忘記刪除他們幾個(gè)月沒(méi)用過(guò)的舊應(yīng)用程序的訪問(wèn)令牌，基本上都是這兩種。

在推特上，開(kāi)發(fā)者社區(qū)的一些重要人物目前敦促受害者在支付任何贖金需求之前聯(lián)系GitHub，GitLab或Bitbucket的支持團(tuán)隊(duì)，因?yàn)榭赡苡衅渌椒梢曰謴?fù)已刪除的代碼。

GitLab安全總監(jiān)Kathy Wang也發(fā)表聲明回應(yīng)網(wǎng)絡(luò)攻擊：

“我們已確定受影響的用戶帳戶，并已通知所有這些用戶。根據(jù)我們的調(diào)查結(jié)果，我們有充分證據(jù)表明受損帳戶的帳戶密碼以明文形式存儲(chǔ)在相關(guān)存儲(chǔ)庫(kù)的部署中?！?/p>

GitLab建議為了防止密碼被黑客盜取，可以啟用雙因素身份驗(yàn)證，為帳戶SSH密鑰；使用強(qiáng)密碼，用密碼管理工具存儲(chǔ)密碼，不要使用明文。

大型自救現(xiàn)場(chǎng)

如果你不幸收到了勒索信，也不要著急交贖金，黑客入侵的可是程序員的大本營(yíng)，兄弟們替你來(lái)支招。

一名受害者聲稱已經(jīng)發(fā)現(xiàn)黑客實(shí)際上并沒(méi)有刪除代碼，并且只要受害者在他們的機(jī)器上有備份代碼，就可以通過(guò)一種相對(duì)簡(jiǎn)單的方法來(lái)恢復(fù)文件。

輸入

git reflog

你可以看見(jiàn)黑客的評(píng)論。

輸入

git checkout origin/master

你可以看見(jiàn)你的文件。

接著：

git checkout origin/mastergit reflog # take the SHA of the last commit of yoursgit reset [SHA]

然后可以修復(fù)你的origin/master

輸入

git statusHEAD detached from origin/master

問(wèn)題還沒(méi)有解決。

如果你在本地備份了代碼，那么直接：

git push origin HEAD:master --force

就可以解決問(wèn)題。

針對(duì)預(yù)防此類攻擊，熱心網(wǎng)友在帖子中給出建議

Daniel Ruf 說(shuō)：之所以發(fā)生這種情況，是因?yàn)?git/config包含了遠(yuǎn)程URL，人們?cè)谄渲刑砑恿擞脩裘?，這種情況下不應(yīng)該包含密碼相關(guān)信息。 人們應(yīng)該使用SSH，部署密鑰或?qū)γ看卫∵M(jìn)行身份驗(yàn)，切勿將憑據(jù)存儲(chǔ)在配置文件中。

其實(shí)，黑客入侵Github時(shí)有發(fā)生。在2018年，Gentoo Linux發(fā)行版的維護(hù)方發(fā)布了一份事件報(bào)告，稱此前有人劫持了該組織的一個(gè)GitHub帳戶并植入了惡意代碼。在今年4月份，Docker Hub數(shù)據(jù)庫(kù)遭遇未授權(quán)人士訪問(wèn)，并導(dǎo)致約19萬(wàn)用戶的敏感信息曝光在外，這批信息包含一部分用戶名與散列密碼，以及GitHub與Bitbucket存儲(chǔ)庫(kù)的登錄令牌。目前，Github tokens 被撤銷，已禁用構(gòu)建。