最新消息称,GitHub 遭骇客攻击,数百程式码被窃取,骇客并以此勒索比特币。
然而,这很可能只是出闹剧,为什么这么说?
大老被抢,给钱放“人”
据 CNBeta 报导,此次 GitHub 被骇客洗劫勒索事件,微软似乎未能幸免。
微软已确认其开源平台 5 日也被骇客攻击,并同样被要求支付款项才能归还窃取的 392 个开源程式码码,这些程式码和提交的资讯均被名为“gitbackup”的账号删除。
从留言内容看,骇客已将受害者的 GitHub 所有程式码码和最近提交的 Repo 移除,只留下 0.1 比特币(约 ¥3850)的赎金票据。
票据写道:“想恢复丢失的程式码,请将 0.1BTC 传送到比特币位址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并将 Git 登入资讯和付款证明传送邮件至 admin@gitsbackup.com。如不确定是否持有你的资料,可传送资讯获得验证。10 天内没有收到付款,将公开程式码或以其他方式使用。”
得知消息后,GitHub 回答:“我们正在与受影响的用户联系,以保护和恢复他们的账户。”BitcoinAbuse 平台显示,此比特币位址目前还未收到赎金。
GitHub 建议用户开启双重身份验证,为账户添加安全保护。
此次攻击开始于 5 月 3 日,除 GitHub 外,Bitbucket 和 GitLab 等多个程式码托管平台也都受到影响。
看似正经,实则闹剧?
从留言看,骇客移除了储存程式库的全部资料,不过,真是如此吗?
1. 程式码还在
GitLab 安全总监 Kathy Wang 回应网络攻击:“我们已确定受影响的用户账户,并通知所有用户。根据调查结果,我们有充分证据表明受损账户的账户密码以明文形式储存在相关储存程式库的部署。”
也就是说,Kathy Wang 认为骇客在票据留下的已移除储存程式库全部资料的说法并非属实。不是全删了吗,这话又怎么说?实际上,这是 StackExchange 安全论坛的成员针对此次攻击进行深入研究后得到的结论。
研究发现“通常来说,git reflog 标示会显示提交的全部资料,也就是说攻击者很难复制每个储存程式库,让他们在来源码搜寻敏感资料或公开程式码的机会也很低。所以,这次攻击更像随机、大规模攻击,攻击本身由程式档生成。”
他们发现,骇客似乎并没有向勒索票据说的完全移除这些资料,而只是改变 Git 提交标头,也就是说这些资料很可能在特定情况下可恢复。
2. 攻击分析
为找到这些攻击者,StackExchange 研究人员做了一次钓鱼实验:
首先,他们启用一些私人储存程式库,其中一部分修改成容易破解的弱密码,移除了一年多尚未使用的存取记号,另一部分则不变。然后,研究人员向 GitLab 传送邮件,希望他们及时通知攻击者在执行攻击时候的进/出进入点,以及期间操作的内容。
研究人员称,尽管弱密码以“a”开头且只有“az”字元,攻击者却并没有怀疑是否为了“钓鱼”而专门设定的陷阱。实际上,研究发现,攻击者透过自动检查方式查询到账户,并执行一系列 git 指令。
“如果这是他们的入侵方式,那么就意味着我们连结的 GitLab / GitHub 邮件和密码也泄露至账户清单。而在这种情况发生的前一个小时内,Google 搜寻并没有表现出任何不规则反应。”
另一处不规则是:研究人员肯定在这之前没有用过存取记号的地方和位置,但结果是电脑自动生成一切,因此怀疑正是问题所在。此外,还有 4 名开发人员也可使用实验的储存程式库,这意味着他们的账户也可能受到攻击。
再深入研究,整个过程似乎并没有显示出明显的入侵攻击行为。“我用 BitDefender 扫描我的电脑但找不到任何痕迹。我肯定自己的电脑没被恶意软件/木马感染,所以造成这一切的不会是上述情况。”
研究人员提到:“实验过程使用的是最新版 SourceTree,这让我怀疑是不是我的 SourceTree 或系统(Windows 10)有漏洞。当然,目前一切都只是分析。”
目前,StackExchange 正和 GitLab 获取更多资讯(如果有)以帮忙研究恢复方案。
- GitLab account hacked and repo wiped
- GitHub源码被黑客洗劫和勒索事件 微软也未能幸免
(本文由 雷锋网 授权转载;首图来源:pixabay)
