Сотни разработчиков обнаружили, что код в их Git-репозиториях сменился требованием о выкупе: неизвестный хакер угрожает опубликовать взломанный код, если жертвы не заплатят в срок требуемую сумму, пишет ZDNet.
Атака затронула сразу несколько хостингов: Bitbucket, GitLab и 392 репозитория GitHub. Каким образом она организована, пока не ясно.
Хакер удаляет весь исходный код и недавние коммиты, вместо которых оставляет сообщение с требованием перевести на его криптокошелёк 0,1 биткоина (около $570). Хакер заверяет, что скачал код и хранит на своих серверах, а также угрожает опубликовать его, если платёж не поступит в течение 10 дней.
ZDNet отмечает, что на момент написания статьи средств на указанный биткоин-адрес не поступало. Сайт BitcoinAbuse.com, который выявляет биткоин-адреса, используемые для подозрительной активности, зафиксировал 27 таких отчётов для указанного кошелька. Все они включают одно и то же сообщение, что указывает на использование адреса в скоординированной атаке на аккаунты Git.
Некоторые разработчики, ставшие жертвами хакера, признают, что использовали слабые пароли на GitHub, GitLab и Bitbucket или забывали удалить токены доступа для старых приложений, которыми не пользовались долгое время — это две весьма распространённые причины взлома онлайн-аккаунтов.
GitLab подтвердил взлом и разослал уведомления пользователям всех взломанных аккаунтов. Atlassian, которой принадлежит Bitbucket, не дала комментариев, но также начала оповещать владельцев аккаунтов, к которым хакеры могли получить несанкционированный доступ, а также тех, по которым заметила неудачные попытки авторизации.
Впрочем, пользователи одного из форумов StackExchange выяснили, что хакер не полностью удаляет код, а просто меняет заголовки коммитов — то есть в некоторых случаях коммиты можно восстановить. Инструкцию можно найти на этой странице. Пострадавших пользователей GitHub, GitLab и Bitbucket призывают связаться с поддержкой сервисов, прежде чем платить злоумышленнику, так как могут найтись другие способы вернуть украденные репозитории.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.